FAQ Datenschutz

Am 24.05.2018 ist das neue Gesetz über den kirchlichen Datenschutz (KDG) in Kraft getreten. Damit wurde die europäischen Datenschutzgrundverordnung (DSGVO) in kirchliches Recht überführt.
 
Jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, ist ein sog. Verantwortlicher im Sinne des Datenschutzes. Dieser ist insbesondere dafür verantwortlich, dass die Anforderungen des KDG eingehalten werden.
Diese Checkliste dient dazu, für die Verantwortlichen die wesentlichen Anforde­rungen exemplarisch zusammenzustellen, im Umgang mit der Verarbeitung personenbezogener Daten Handlungssicherheit zu bieten und einen Leitfaden aufzuzeigen, anhand dessen jeder, der mit der Verarbeitung personenbezogener Daten betraut ist, selbständig umgehen kann.
Zu beachten ist, dass sich Umfang und konkrete Anforderungen fallbezogen unterscheiden können.
In dieser Checkliste wird deshalb der vereinfachte Regelfall angenommen. Möglichkeiten zur Vertiefung und Auskunft finden Sie am Ende des Textes.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Personenbezogene Daten können sowohl in Papierform oder elektronischer Form vorliegen.

Diese sind zum Beispiel:

• Name
• Adressdaten
• Vertragsstammdaten
• Daten zu Bank- oder Kreditkartenkonten
• IT-Nutzungsdaten (z. B. Verbindungsdaten, IP-Adressen)
• Kennnummern
• Standortdaten
• besondere Merkmale, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind
• Bilder, Videoaufnahmen
• …

Wenn personenbezogene Daten auf Papier oder elektronisch verarbeitet werden, müssen die nachstehenden Fragen beantwortet werden.

Die Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine Rechtsgrundlage hierfür gegeben ist.
 
Diese Rechtsgrundlage kann sich aus dem KDG selbst oder aus einer anderen kirchlichen oder staatlichen Rechtsvorschrift (§ 6 Abs. 1 lit. a KDG) ergeben.
 
Vor jeder Verarbeitung personenbezogener Daten ist daher zu prüfen, ob eine Rechtsgrundlage gegeben ist.
 

Beispiel:
Sie schließen mit einem Mieter einen Mietvertrag. Sie dürfen zum Zweck der Verwaltung und Durchführung des Mietverhältnisses die Daten aufgrund des Mietvertrages speichern.

Liegt keine (kirchen-)gesetzliche Rechtsgrundlage vor, kann eine Datenverarbeitung nur erfolgen, wenn der Betroffene in die Datenverarbeitung eingewilligt hat (§ 6 Abs. 1 lit. b KDG i.V.m. § 8 KDG).
 

Beispiel:
Sie wollen die Daten eines Spenders in eine Spenderliste aufnehmen, damit der Spender regelmäßig über neue Spendeprojekte informiert wird. Dies dürfen Sie nur tun, wenn der Spender ausdrücklich darin eingewilligt hat.

Die Einwilligung muss mehrere gesetzliche Anforderungen erfüllen, insbesondere muss sie
 

• auf den Zweck der Verarbeitung hinweisen (siehe 6. Frage),
• auf die Folgen einer Verweigerung hinweisen,
• freiwillig erteilt werden, worauf in der Einwilligung hinzuweisen ist,
• jederzeit widerrufen werden können, worauf in der Einwilligung hinzuweisen ist,
• grundsätzlich schriftlich erteilt werden.

Beispiel für einen Mustertext für eine Einwilligung:
 
Angaben zum Verantwortlichen …
Angaben zum Verarbeitungszweck …
 
Die Einwilligung ist jederzeit für die Zukunft widerruflich. Der Widerruf ist schrift­lich bei                                     anzuzeigen.  Bei Druckwerken ist die Einwilligung nicht mehr widerrufbar, sobald der Druck­auftrag erteilt ist.
 
Wird die Einwilligung nicht widerrufen, gilt sie zeitlich unbeschränkt, d.h. auch über die Beendigung der Zugehörigkeit zur                             hinaus. Bei der Veröffentlichung eines Gruppenfotos führt der spätere Widerruf einer einzelnen Person unbedingt nicht dazu, dass das Bild entfernt werden muss (z.B. kann lediglich die betroffene Person durch Verpixelung unkenntlich gemacht werden). Mir wurde erläutert, dass meine Einwilligung freiwillig ist. Aus der Nichterteilung oder dem Widerruf der Ein­willigung entstehen keine Nachteile. Ein Dokument zur Erfüllung der Informations­pflichten nach § 15 KDG hat mir vorgelegen.

Die Einwilligung muss dokumentiert werden, damit im Zweifel der Nachweis erbracht werden kann, dass die betroffene Person in die Datenverarbeitung eingewilligt hat. Dazu ist entweder das Originaldokument zu den Akten zu nehmen. Es kann aber auch eine digitale Kopie („scan“) erstellt werden.

Wenn die Datenverarbeitung aufgrund einer Einwilligung erfolgt, dürfen Sie die Daten ab Zugang des Widerrufs nicht weiter verarbeiten.
Wenn die Datenverarbeitung auf einer gesetzlichen Grundlage oder auf Grundlage des KDG erfolgt, dürfen die Daten in diesem Rahmen weiter verarbeitet werden.
In Zweifelsfällen sprechen Sie bitte Ihre:n zuständige:n betriebliche:n Datenschutz­beauftragte:n an.

Bereits vor der Datenerhebung muss feststehen bzw. muss festgelegt sein, welche Daten für welche Zwecke verarbeitet werden sollen.
Zwecke können dabei beispielsweise sein:

• Bewerberdaten zum Zweck der Durchführung eines Bewerbungsverfahrens
• Adressdaten zum Zweck der Organisation und Durchführung eines Kurses
• Adressdaten von Ehrenamtlichen zum Zweck der Kontaktaufnahme
• etc.

Die personenbezogenen Daten dürfen nur für die Nutzung konkret benannter und festgelegter Zwecke verwendet werden (Zweckbindung).

Grundsätzlich dürfen personenbezogene Daten nur zu dem Zweck verarbeitet werden, zu dem sie erhoben werden.
Das KDG sieht jedoch einen engen Katalog an Ausnahmetatbeständen vor, die eine Datenverarbeitung auch zu einem anderen Zweck erlauben. Wenn Sie hier unsicher sind, wenden Sie sich bitte vertrauensvoll an Ihre:n zuständige:n betriebliche:n Datenschutzbeauftragte:n.
Gegebenenfalls kann es auch hier erforderlich sein, eine Einwilligung einzuholen.  

Beispiel:
Sie dürfen die Anmeldedaten von Teilnehmer:inne:n eines von Ihnen angebotenen Kurses zum Zweck der Organisation des Kurses speichern und verarbeiten. Sie dürfen die Anmeldedaten aber nicht verwenden, um den Teilnehmer:inne:n weitere Kursangebote zu schicken, wenn diese nicht explizit darin eingewilligt haben.

Aus dem Gebot der Datensparsamkeit folgt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die zwingend für den festgelegten Zweck erforderlich sind. Eine sogenannte „Vorratsdatenspeicherung“ ist nicht zulässig. Ebenso muß der Zweck zu den Verarbeitungszielen passen.
Wenn Sie Daten erheben, müssen Sie bereits darauf achten, nur die Daten zu erheben, die Sie zwingend benötigen.
Achten Sie insbesondere auf folgendes:

• Bei Anmeldeformularen sind Pflichtangaben und freiwillige Angaben zu unterscheiden und entsprechend zu kennzeichnen. Freiwillige Angaben sind so sparsam wie möglich vorzusehen.
• Notieren Sie nur die Angaben, die Sie für eine Rückantwort oder eindeutige Zuordnung benötigen.
  

Das hängt zunächst davon ab, an wen die Daten weitergegeben werden sollen. Je nach Empfänger gibt es unterschiedliche gesetzliche Anforderungen.
a)     Wenn die Daten an eine kirchliche oder öffentliche Stelle weitergegeben werden sollen, dann ist dies nur zulässig, wenn die Weitergabe zur Erfüllung von Aufgaben Ihrer Dienstelle oder zur Erfüllung von Aufgaben der anderen Dienstelle erforderlich ist und dafür eine Rechtsgrundlage nach § 6 KDG vorliegt (§ 9 Abs. 1 KDG).
b)     Wenn die Daten an eine kirchliche oder nicht öffentliche Stelle weitergegeben werden sollen, dann ist dies nur zulässig, wenn die Weitergabe zur Erfüllung von Aufgaben Ihrer Dienststelle erforderlich ist und dafür eine Rechtsgrundlage nach § 6 KDG vorliegt oder der Empfänger ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Offenlegung hat, es sei denn, dass Grund zu der Annahme besteht, dass durch die Offenlegung die Wahrnehmung des Auftrags der Kirche gefährdet würde (§ 10 Abs. 1 KDG).
Die rechtliche Einordung kann im Einzelfall schwierig sein. Wenn Sie hier unsicher sind, wenden Sie sich bitte an Ihre:n zuständige:n betrieblichen Daten­schutz­beauftragte:n.

Beispiel:
Sie dürfen die Anmeldedaten von Teilnehmenden eines von Ihnen angebotenen Kurses an die Buchhaltung zum Zweck der Abwicklung des Zahlungsvorganges bzgl. der Kursgebühr weitergeben. Sie dürfen die Anmeldedaten aber nicht an eine andere Dienstelle weitergeben, die die Daten für eigene Werbezwecke nutzen will.

Bedenken Sie bitte auch folgendes:
Wenn Sie Daten zulässigerweise an andere Kollegen oder Dienststellen weitergeben, muss immer sichergestellt sein, dass die Daten im Fall eines Löschbegehrens oder bei Ablauf der Aufbewahrungsfrist an allen Stellen auch tatsächlich gelöscht werden.
Prüfen Sie daher folgendes:

• Auf welchem Weg gebe ich Daten an andere weiter (z. B. per E-Mail)?
• Wo werden die Daten bei mir und bei anderen gespeichert?
• Ist sichergestellt, dass die Daten an allen Stellen auch tatsächlich gelöscht werden können?
• Ist dies nicht der Fall, ist zu klären, ob die Praxis der Datenweitergabe so fortgeführt werden kann oder wie die Löschanforderungen sichergestellt werden können.

Bei einer Weitergabe per E-Mail ist je nach Art der Daten und ihrer Schutzklasse auf eine sichere Übermittlung zu achten, d.h. die E-Mail sollte nicht nur transport-, sondern auch inhaltsverschlüsselt übermittelt werden. Alternativ sind freigegebene, kirchlich Austauschplattformen wie https://www.communicare.social/ zu nutzen.

Wenn der Dritte die personenbezogenen Daten in Ihrem Auftrag verarbeitet (z. B. eine Druckerei druckt in Ihrem Auftrag Briefe mit Adressdaten), ist zwingend ergänzend zu dem Dienstleistungsvertrag ein Vertrag zur Datenverarbeitung im Auftrag abzuschließen (§ 29 KDG).
Praxishinweis:

• Im Einzelfall kann es schwierig sein festzustellen, ob eine Auftrags­ver­arbeitung (§ 29 KDG) oder gemeinsame Verantwortlichkeit (§ 28 KDG) vorliegt. Haben Sie Zweifel, fragen Sie bitte Ihre:n betriebliche:n Datenschutzbeauftragte:n.
• Es ist ein Vertrag zu verwenden, mit dem der Auftragnehmer sich KDG unterwirft. Sprechen Sie Ihre:n betriebliche:n Datenschutzbeauftragte:n darauf an.

Jede Übermittlung personenbezogener Daten, die verarbeitet werden oder für eine Verarbeitung an ein Drittland oder an eine internationale Organisation übermittelt werden sollen, ist nur zulässig, wenn gesetzliche Vorgaben eingehalten werden (§§ 39-41 KDG). 
Stellen Sie sich diese Frage bitte insbesondere dann, wenn:

• auf Ihrer Website z.B. Google-Dienste genutzt werden sollen.
• Daten in einer Cloud gespeichert werden sollen.
• Daten ins Ausland übermittelt werden sollen, weil z. B. der Dienstleister seinen Sitz im Ausland hat.

Die rechtliche Einordnung kann im Einzelfall schwierig sein. Wenden Sie sich bitte in jedem Fall an Ihre:n betriebliche:n Datenschutzbeauftragte:n.

Der Grundsatz der Integrität und Vertraulichkeit verlangt, dass personenbezogene Daten nur in einer sicheren Weise verarbeitet werden. Das umfaßt u.a. den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust, Zerstörung oder Schädigung durch Implementierung geeigneter technischer oder organisatorischer Maßnahmen.
Es ist daher sicherzustellen, dass Unberechtigte nicht auf die Daten zugreifen können.
Es ist insbesondere zu achten, dass

• Daten z.B. durch Passwörter geschützt werden.
• es Rollen- und Berechtigungskonzepte gibt, die die Zugriffe auf Daten regeln.
• Papierakten in verschlossenen Büros bzw. verschlossenen Schränken auf­be­wahrt werden.
• Gruppenablagen nur für bestimmte festgelegte Nutzerkreise freigeschaltet sind.

Sie dürfen personenbezogene Daten, die die Identifizierung der betroffenen Personen ermöglichen, nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (§ 7 Abs. 1 lit. e KDG).
Es hängt daher von dem jeweils von Ihnen festgelegten Zweck ab, wie lange die Daten gespeichert werden dürfen.
Überlegen Sie sich bitte folgendes:

• Gibt es gesetzliche Regelungen, die es erforderlich machen, Daten für einen bestimmten Zeitraum zu speichern? Diese sind einzuhalten und zu dokumentieren.
• Welche betrieblichen Erfordernisse habe ich? Diese sind konkret zu benennen und zu dokumentieren.
• Ist zu erwarten, dass die betroffenen Personen Ansprüche geltend machen? Für welchen Zeitraum ist dies zu erwarten (Verjährungsfristen)? Dies ist konkret zu benennen und zu dokumentieren.
• Im Ergebnis ist daraus ein Konzept zu Aufbewahrungs- und Löschfristen zu entwickeln. Es berät und unterstützt Ihr:e betriebliche:r Datenschutz­be­auftragte:r.

Nach Ablauf der Aufbewahrungsfristen sind die Daten zu löschen.
 
Dabei ist die Kirchliche Archivordnung zu beachten, auf deren Grundlage im Einzelfall ein physisches Löschen von Daten entfällt.
 
Wenden Sie sich daher bei Fragen gerne an das Archiv.

Das KDG sieht umfangreiche Betroffenenrecht vor.
Solange noch keine einheitlichen Prozesse zur Wahrnehmung von Betroffenen­rechten vorliegen, wenden Sie sich bitte bei derartigen Ersuchen an Ihre:n zuständige:n betrieblichen Datenschutzbeauftragte:n.

Das KDG sieht vor, dass der Verantwortliche die betroffene Person über jede Datenverarbeitung informieren muss. Informationen zum Datenschutz müssen leicht zugänglich und verständlich sein (z.B. Homepage, Vertragsanlage). Das Gesetz sieht hierzu detaillierte Regelungen vor (§§ 15, 16 KDG).

Beispiele:

• Wenn personenbezogene Daten über eine Webseite erhoben werden (z. B. über das Anmeldeformular), ist auf der Webseite über die Daten­verarbeitung zu informieren. Dies erfolgt im Rahmen  der Hinweise zum Datenschutz.
• Werden Einwilligungen eingeholt, ist über die Datenverarbeitung zu infor­mie­ren.

Die rechtliche Einordnung kann im Einzelfall schwierig sein. Wenden Sie sich bitte im Zweifelsfall an Ihre:n  zuständige:n Datenschutzbeauftragte:n.

Jede Videoüberwachung stellt einen Eingriff in die Grundrechte betroffener Personen dar. Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen (Videoüberwachung) ist nur zulässig, soweit sie a) zur Auf­gaben­erfüllung oder zur Wahrnehmung des Hausrechts oder b) zur Wahrnehmung berechtigter Interessen für konkret festgelegte Zwecke erforderlich ist und keine Anhaltspunkte bestehen, dass schutzwürdige Interessen der betroffenen Person überwiegen (§ 52 Abs. 1 KDG). Prüfen Sie mildere Mittel, bevor Sie eine Video­über­wachung umsetzen wollen. Das Vorgehen ist zu dokumentieren.
Eine hilfreiche Einführung hat die Sächsische Datenschutz- und Transparenz­beauftragte veröffentlicht: https://publikationen.sachsen.de/bdb/artikel/43382
Die rechtliche Einordnung kann im Einzelfall schwierig sein. Wenden Sie sich bitte in jedem Fall an Ihre:n zuständige:n Datenschutzbeauftragte:n.

WhatsApp und Facebook gehören zum Meta-Konzern, der umfassend personen-bezogene Daten der Nutzer erhebt, Profile bildet und diese Daten kommerzialisiert. Dabei werden gesetzliche Anforderungen des Datenschutzes teils ignoriert. Darüber hinaus findet die Speicherung der Verbindungsdaten außerhalb des Bereiches der EU bzw. des Europäischen Wirtschaftsraumes (EWR) statt, was datenschutzrechtlich nur unter ganz engen Voraussetzungen zulässig ist. Die Kath. Datenschutzaufsichten haben daher die Verwendung dieses Messenger-Dienstes WhatsApp auf dienstlichen Endgeräten untersagt. Auch bei anderen Messenger-Diensten ist zu prüfen, ob und welche zusätzlichen Daten erhoben, ob und wo sie zu welchem Zweck gespeichert werden, wer auf die Daten Zugriff nimmt u.v.a.m.
Was ist zu tun:

• Sofern Sie WhatsApp auf einem dienstlichen Endgerät nutzen, müssen Sie die App löschen.
• Sofern sie WhatsApp auf Ihrem privaten Smartphone o.ä. nutzen, dürfen Sie WhatsApp nicht für dienstliche Kommunikation nutzen.

Andere Messenger-Dienste können u. U. genutzt werden. Bei Fragen hierzu wenden Sie sich bitte an Ihre:n betriebliche:n Datenschutzbeauftragte:n.
Alternativen:
Für Einrichtungen im Geltungsbereich der IT-Nutzungsrichtlinie des Erzbischöflichen Ordinariats München ist Ginlo freigegeben (https://www.ginlo.net/).
Threema (https://threema.ch/) erfüllt alle Datenschutzanforderungen. Signal (https://signal.org/) wird von einer Stiftung ohne kommerzielle Interessen betrieben und speichert Nachrichten nur bis zu ihrer Auslieferung an Endgeräte. Session (https://getsession.org/) läßt sich ohne Telefonnummer nutzen und garantiert Anonymität. DeltaChat (https://delta.chat/) nutzt eMail für das Messaging.

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Daten), so ist eine gesetzliche Meldepflicht binnen 72 Stunden (§ 33 KDG) einzuhalten, wenn durch diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen besteht.
Was ist zu tun?
Wenden Sie sich bitte bei derartigen Vorfällen – auch wenn Sie ggf. über die Not­wendig­keit der Meldung im Unklaren sind – unverzüglich an Ihre:n zuständige:n betriebliche:n Datenschutzbeauftragte:n.

Es bestehen Nachweispflichten.
Verantwortliche müssen Mitarbeiter:innen, die mit personenbezogenen Daten arbeiten zu den datenschutzrechtlichen Anforderungen schulen. Sie müssen sicherstellen, dass datenschutzrechtliche Anforderungen eingehalten werden.
Verarbeitungstätigkeiten sind in einem Verzeichnis zu dokumentieren. Ein solches Verzeichnis der Verarbeitungstätigkeiten (VVT) mag wie bürokratischer Mehr­auf­wand erscheinen. Ein VVT dient dazu, gegenüber betroffenen Personen, aber auch der Datenschutzaufsicht auf Nachfrage mitteilen zu können, auf Basis welcher Rechtsgrundlagen zu welchen Zwecken mit welchen organisatorischen Mitteln personenbezogene Daten verarbeitet werden und für wie lange ihre Speicherung erforderlich ist.  Werden Daten durch Dritte im Auftrag verarbeitet, so ist – vergleiche Fragen 10 und 11 – ein Vertrag zur Datenverarbeitung zu schließen.
Für die Dokumentation sind in Arbeo Vorlagen zu finden im Datenschutz-Bereich.

Wenn Sie weitere Fragen zum Datenschutz haben, können Sie sich an Ihre:n zuständige:n Datenschutzbeauftragte:n wenden.
Wenn Sie nach der Durchsicht der Checkliste feststellen, dass für eine Daten­ver­arbeitung ein Anpassungsbedarf besteht, wenden sie sich bitte an Ihre:n zuständige:n Dienststellenleiter:in. Darüber hinaus berät und unterstützt Ihr:e zuständige:r Daten­schutzbeauftragte:r gerne.
Wenn Sie nicht wissen, wer der für Sie zuständige betriebliche Daten­schutz­be­auf­tragte ist, wenden Sie sich an Ihre:n Dienststellenleiter:in.
Die Mitarbeiter:innen der Stabsstelle Datenschutz des Erzbischöflichen Ordinariats München erreichen Sie unter Tel. 089 2137 2284 oder datenschutz@eomuc.de.
Die Kath. Datenschutzaufsicht Bayern erreichen Sie unter folgenden Kontaktdaten:
Katholisches Datenschutzzentrum Bayern (KdöR)
Datenschutzaufsicht für die bayerischen (Erz-)Diözesen
Vordere Sterngasse 1
90402 Nürnberg
Telefon 0911 477740 50
Fax 0911 477740 59
post@kdsz.bayern
https://www.kdsz.bayern/