Die häufigsten Fragen rund um KDG und DSGVO für katholische Kirchengemeinden und Einrichtungen

Die EU-Datenschutz-Grundverordnung (DSGVO) hat das Ziel, die Bürgerinnen und Bürger der Europäischen Union vor dem Missbrauch ihrer Daten zu schützen. Sie gilt bereits seit Mai 2016 und trat am 25. Mai 2018 endgültig und unmittelbar in Kraft. 

Das Katholische Datenschutzgesetz (KDG) trat bereits einen Tag früher, am 24. Mai 2018, in Kraft (Kirchliches Amtsblatt für das Bistum Münster (NRW-Teil) vom 1. Februar 2018, Nr. 3, Art. 45). Es wurde im November 2017 durch die Vollversammlung der Deutschen Bischofskonferenz erlassen und gilt für Bistümer ebenso wie für Kirchengemeinden, kirchliche Stiftungen, Einrichtungen und Verbände. Es ersetzt die bisher geltende Kirchliche Datenschutzordnung (KDO) aus dem Jahr 2015. Die weiteren rechtlichen Verordnungen in Bezug auf den kirchlichen Datenschutz (z.B. Ausführungsbestimmungen für den pfarramtlichen Bereich, KDO-Schulen, Durchführungsverordnung für die KDO o.ä.) bleiben zunächst bestehen, solange sie den Regelungen des KDG nicht widersprechen. 

Wer mit „personenbezogenen Daten“ zu tun hat, sollte sich mit dem Thema Datenschutz zumindest grundlegend auskennen. Das betrifft alle, die z.B. eine Website betreiben, einen Social-Media- Kanal haben oder für die Kirchengemeinden, die Fotos von Aktivitäten schießen. Selbstverständlich gehört auch ein großer Teil der Arbeit im Pfarrbüro zum Bereich „Umgang mit personenbezogenen Daten“.

Darunter versteht man sämtliche Informationen, die sich auf eine bestimmte oder bestimmbare Person beziehen. Das können zum Beispiel der Name oder die Adresse sein, aber auch ein Foto einer Person.

Schon bisher benötigten Websites ein Impressum und eine separate Datenschutzerklärung. Das regelt das Telemediengesetz (TMG). Nach Inkrafttreten der DSGVO muss die Datenschutzerklärung nunmehr noch genauer aufführen, welche Daten auf der Website erhoben werden und welche Rechte die Nutzer in Bezug auf die Verarbeitung ihrer Daten haben. Wenn Sie zum Beispiel ein Mailformular anbieten oder Analyseprogramme wie Piwik oder Google Analytics verwenden, muss das in der Datenschutzerklärung ebenso auftauchen wie eine Einbindung von Social-Media- Plugins wie Facebook oder Twitter. Außerdem gehört in die Erklärung die Information, dass der Nutzer ein Recht auf Auskunft, Widerspruch oder auf Löschung und Sperrung seiner Daten hat. Was die Datenschutzerklärung alles beinhalten muss, hängt davon ab, wie die jeweilige Seite aufgebaut ist bzw. welche Daten konkret erhoben werden.. Bei der Erstellung einer DSGVO-konformen Datenschutzerklärung können wir Sie gerne unterstützen.

Wichtig: Wenn Sie auf Ihrer Webseite Formulare anbieten wie z. B. ein Kontaktformular oder die Anmeldung zu einem Newsletter, prüfen Sie bitte, ob Ihre Website SSL-verschlüsselt ist. Das erkennen Sie an dem Schloss-Symbol ganz links in der Adresszeile Ihres Browsers und an der mit https:// beginnenden Internet-Adresse. Ist dies nicht der Fall, sollten Sie so schnell wie möglich Kontakt zu Ihrem Provider aufnehmen und die Seite auf eine SSL-Verschlüsselung umstellen lassen.

Ja, das Gesetz sieht vor, dass immer dann, wenn ein Dienstleister für einen Auftraggeber personenbezogene Daten verarbeitet, eine solche Vereinbarung zu schließen ist. Bei einem Internet- Provider werden Daten des Auftraggebers (z. B. einer Kirchengemeinde) auf Servern des Dienstleisters (Provider) abgespeichert. Da dies eine Auftragsdatenverarbeitung darstellt, ist eine entsprechende Vereinbarung zu schließen. Das gilt selbstverständlich nicht nur für den Bereich von Webseiten, sondern für alle Formen der Datenverarbeitung durch externe. Wenn Sie z. B. Ihre Computersysteme per Fernwartung betreuen lassen, müssen Sie darüber ebenfalls eine entsprechende Vereinbarung abschließen. Ein Muster hierfür finden Sie hier.

Ehrenamtliche, die z.B. für eine Kirchengemeinde die Website pflegen, zählen übrigens nicht zu den „Dienstleistern“, mit denen man einen AV-Vertrag abschließen muss. Sofern sie mit personenbezogenen Daten in Kontakt kommen, müssen sie jedoch – ebenso wie Hauptberufliche - laut §5 KDG eine Verpflichtungserklärung unterzeichnen.

Das dürfen Sie, jedoch nur in der gedruckten Fassung. Sobald der Gemeindebrief „digitalisiert“ wird, also z.B. als PDF auf der Webseite veröffentlicht, bei Facebook eingestellt oder an die Tageszeitung weitergegeben wird, benötigen Sie dazu vorab das schriftliche Einverständnis der Betroffenen. Die Weitergabe (Vorname, Name, Datum, besonderes Ereignis)  an die Kirchenzeitung ist laut den Ausführungsrichtlinien für den pfarramtlichen Bereich von 2013 weiterhin erlaubt, sofern der Betroffene der Veröffentlichung nicht widersprochen hat. Das war bislang bereits so und hat sich durch DSGVO bzw. KDG nicht geändert.

Nicht zulässig sind Messenger-Apps, die auf das Telefonbuch eines Smartphones zugreifen (z. B. WhatsApp). Schon das Synchronisieren der WhatsApp-Kontakte mit dem internen Adressbuch stellt einen Verstoß gegen den Datenschutz dar. Somit ist die dienstliche Nutzung von WhatsApp nicht gestattet. Derzeit arbeiten wir an geeigneten Alternativen.

Das kann man leider so pauschal noch nicht beantworten. Schon bislang benötigten Fotografen laut dem Kunsturhebergesetz (KUG) die Zustimmung der aufgenommenen Personen, wenn sie die Fotos veröffentlichen wollten. Diese Zustimmung konnte aber auch mündlich oder durch entsprechendes Verhalten (z.B. in Pose stellen, Nicken …) erteilt werden. Die Datenschutzgrundverordnung geht davon aus, dass man in jedem Fall eine schriftliche Einwilligung benötigt. Es ist noch nicht abzusehen, ob die Rechtsprechung künftig die Kunstfreiheit oder den Datenschutz höher gewichten wird. Wer auf der sicheren Seite sein will, sollte sich vorab von allen abgebildeten Personen eine schriftliche Einverständniserklärung ausstellen lassen.

Bei Kindern und Jugendlichen bis 16 Jahren ist die Sachlage eindeutiger: Hier geht nichts ohne eine von den Eltern unterschriebene Einwilligung. Diese muss sich auf das beabsichtigte Bilderzeugnis und das zur Veröffentlichung angedachte Medium beziehen. Sie müssen also konkret angeben, wofür Sie die Einwilligung benötigen (z.B. „Wir wollen die Fotos auf der Website der Messdienergemeinschaft veröffentlichen.“). Eine weit gefasste Formulierung („für die Öffentlichkeitsarbeit der Pfarrei“) reicht nicht aus. Die Einwilligung ist freiwillig und kann von den Betroffenen jederzeit widerrufen werden. Diese Hinweise auf Freiwilligkeit und Widerrufsrecht sollten auch auf dem Einwilligungsformular zu finden sein.

Ja, prinzipiell ist das so: Alle kirchlichen Einrichtungen sind dazu angehalten, ein Datenschutzkonzept zu entwickeln und müssen auch einen fachlich qualifizierten Datenschutzbeauftragten benennen. Das Bistum bietet hier für seine Kirchengemeinden und Einrichtungen konkrete Dienstleistungen an.

a) Im Bischöflichen Generalvikariat arbeitet ein Datenschützer:
Herr Rainer Timmerhinrich ist für das Bischöfliche Generalvikariat und die unselbständigen Einrichtungen (KöR) im Bistum zuständig, sowie für die Kirchengemeinden des nordrhein-westfälischen Teil des Bistums und deren angeschlossenen Einrichtungen und Verbände. Der jeweilige Kirchenvorstand kann Herrn Timmerhinrich als externen Datenschützer bestellen.

Unser Datenschutzteam hilft Ihnen bei Fragen zum Datenschutz gerne weiter.

b) Das Bistum wird Anfang 2019 den Kirchengemeinden eine Online-Datenschutzschulung zur Verfügung stellen, die jede/r Hauptamtliche durchlaufen sollte. Die Dienstgeber sind zur Schulung der Dienstnehmer verpflichtet und können über das Online-System nachhalten, dass diese die Schulungen tatsächlich absolviert haben.

c) Wir binden die IT der Kirchengemeinden an das Bistum an, so dass z.B. bei der bekannten eingesetzten Software die damit verbundene Dokumentation (z.B. Verfahrensverzeichnisse und Risikoabwägung) zentral über das Generalvikariat läuft.

Die Einwilligungserklärung muss bestimmten gesetzlichen Anforderungen entsprechen, insbesondere muss sie 

• auf den Zweck der Verarbeitung hinweisen, 
• auf die Folgen einer Verweigerung hinweisen, 
• freiwillig erteilt werden, worauf in der Einwilligung hinzuweisen ist, 
• jederzeit widerrufen werden können, worauf in der Einwilligung hinzuweisen ist, 
• grundsätzlich schriftlich erteilt werden. 

Hier ein Mustertext für eine Einwilligungserklärung: 

Die Einwilligung ist jederzeit für die Zukunft widerruflich. Der Widerruf ist schriftlich beim __________________________ einzulegen. 
Bei Druckwerken ist die Einwilligung jedoch nicht mehr widerruflich, sobald der Druckauftrag erteilt ist. Gleiches gilt auch für bereits weitergegebene Daten, Fotos etc. (auch in digitaler Form). 
Wird die Einwilligung nicht widerrufen, gilt sie zeitlich unbeschränkt, d.h. auch über die Beendigung der Zugehörigkeit zur ___________ hinaus. 
Bei Veröffentlichung eines Gruppenfotos führt der spätere Widerruf einer einzelnen Person grundsätzlich nicht dazu, dass das Bild entfernt werden muss.
Mir wurde erläutert, dass die Erklärung meines Einverständnisses völlig freiwillig ist. Aus der Nichterteilung oder dem Widerruf der Einwilligung entstehen keine Nachteile.

Die Einwilligungserklärung muss dokumentiert werden, damit im Zweifel der Nachweis erbracht werden kann, dass die betroffene Person in die Datenverarbeitung eingewilligt hat. Idealerweise haben Sie die Einwilligung in Papierform aufgehoben. 
 

Grundsätzlich dürfen personenbezogene Daten nur zu dem Zweck verarbeitet werden, zu dem sie erhoben werden. 

Beispiel: 
Sie dürfen die Anmeldedaten von Teilnehmern eines von Ihnen angebotenen Kurses zum Zweck der Organisation des Kurses speichern und verarbeiten. Sie dürfen die Anmeldedaten aber nicht verwenden, um den Teilnehmern weitere Kursangebote zu schicken, wenn diese nicht explizit darin eingewilligt haben.

Das KDG sieht jedoch einen engen Katalog an Ausnahmetatbeständen vor, die eine Datenverarbeitung auch zu einem anderen Zweck erlauben. Wenn Sie hier unsicher sind, wenden Sie sich bitte vertrauensvoll an Ihren zuständigen betrieblichen Datenschutzbeauftragten. Gegebenenfalls kann es auch hier erforderlich sein, eine Einwilligungserklärung einzuholen. Hierzu verfahren Sie wie oben beschrieben.

Aus dem Gebot der Datensparsamkeit folgt, dass nur die personenbezogenen Daten erhoben und verarbeitet werden dürfen, die zwingend für den festgelegten Zweck erforderlich sind. Eine „Vorratsdatenspeicherung“ ist nicht zulässig. Wenn Sie Daten erheben, müssen Sie bereits darauf achten, nur die Daten zu erheben, die Sie zwingend benötigen. 
Achten Sie insbesondere darauf, dass in den Anmeldeformularen die Pflichtangaben und freiwillige Angaben zu kennzeichnen sind. Die freiwilligen Angaben sind so sparsam wie möglich vorzusehen. Notieren Sie nur die Angaben, die Sie für eine Rückantwort oder eindeutige Zuordnung benötigen.

Das hängt zunächst davon ab, an wen die Daten weitergegeben werden sollen. Je nach Empfänger gibt es unterschiedliche gesetzliche Anforderungen.

1. Wenn die Daten an eine kirchliche oder öffentliche Stelle weitergegeben werden sollen, dann ist dies nur zulässig, wenn die Weitergabe zur Erfüllung von Aufgaben Ihrer Dienststelle oder zur Erfüllung von Aufgaben der anderen Dienststelle erforderlich ist und dafür eine Rechtsgrundlage nach § 6 KDG vorliegt. (§ 9 Abs. 1 KDG) 
2. Wenn die Daten an eine nicht kirchliche oder nicht öffentliche Stelle weitergegeben werden sollen, dann ist dies nur zulässig, wenn die Weitergabe zur Erfüllung von Aufgaben Ihrer Dienststelle erforderlich ist, dafür eine Rechtgrundlage nach § 6 KDG vorliegt sowie der Empfänger ein berechtigtes Interesse an der Kenntnis der Daten glaubhaft darlegt und die betroffene Person kein schutzwürdiges Interesse an dem Ausschluss der Offenlegung hat, es sei denn, dass Grund zu der Annahme besteht, dass durch die Offenlegung die Wahrnehmung des Auftrags der Kirche gefährdet würde. (§ 10 Abs. 1 KDG) 

Die rechtliche Einordnung kann im Einzelfall schwierig sein. Wenn Sie hier unsicher sind, wenden Sie sich bitte vertrauensvoll an Ihren zuständigen betrieblichen Datenschutzbeauftragten. 

Beispiel:
Sie dürfen die Anmeldedaten von Teilnehmern eines von Ihnen angebotenen Kurses an die Buchhaltung zum Zweck der Abwicklung des Zahlungsvorganges bzgl. der Kursgebühr weitergeben. Sie dürfen die Anmeldedaten aber nicht an eine andere Dienststelle weitergeben, die die Daten für eigene Werbezwecke nutzen will. 

Bedenken Sie bitte auch Folgendes: 
Wenn Sie Daten zulässigerweise an andere Kollegen oder Dienststellen weitergeben, muss immer sichergestellt sein, dass die Daten im Fall eines Löschbegehrens oder bei Ablauf der Aufbewahrungsfrist an allen Stellen auch tatsächlich gelöscht werden. 

Prüfen Sie daher Folgendes:

• Auf welchem Weg gebe ich Daten an andere weiter (z. B. per E-Mail)?
• Wo werden die Daten bei mir und bei den anderen gespeichert?
• Ist sichergestellt, dass die Daten an allen Stellen auch tatsächlich gelöscht werden können?
• Ist dies nicht der Fall, ist zu klären, ob die Praxis der Datenweitergabe so fortgeführt werden kann oder wie die Löschanforderungen sichergestellt werden können.

Der Grundsatz der Integrität und Vertraulichkeit verlangt, dass personenbezogene Daten nur in einer Weise verarbeitet werden, die eine angemessene Sicherheit dieser Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen. Es ist daher sicherzustellen, dass Unberechtigte nicht auf die Daten zugreifen können.  

Darauf ist insbesondere zu achten:

• Daten müssen z. B. durch Passwörter geschützt werden.
• Es gibt Rollen- und Berechtigungskonzepte, die die Zugriffe auf Daten regeln.
• Papierakten sind in verschlossenen Büros bzw. verschlossenen Schränken aufzubewahren.
• Gruppenablagen sind nur für einen bestimmten festgelegten Nutzerkreis freigeschaltet.

Sie dürfen personenbezogene Daten, die die Identifizierung der betroffenen Personen ermöglichen, nur so lange speichern, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. (§ 7 Abs. 1 lit. e KDG)  

Es hängt also von dem jeweils von Ihnen festgelegten Zweck ab, wie lange die Daten gespeichert werden dürfen. 

Überlegen Sie sich daher bitte folgendes:

• Gibt es gesetzliche Regelungen, die mich zwingen, Daten für einen bestimmten Zeitraum zu speichern? Diese sind einzuhalten.
• Welche betrieblichen Erfordernisse habe ich unter Umständen? Diese sind konkret zu benennen und zu dokumentieren.
• Ist zu erwarten, dass die betroffenen Personen Ansprüche geltend machen können und für welchen Zeitraum ist dies zu erwarten? Dies ist konkret zu benennen und zu dokumentieren.

Im Ergebnis ist daraus ein Konzept zu Aufbewahrungs- und Löschfristen zu entwickeln. Für diese Aufgabe berät und unterstützt der betriebliche Datenschutzbeauftragte.

Das KDG sieht vor, dass der Verantwortliche die betroffene Person über bestimmte Modalitäten der Datenverarbeitung informieren muss. Zumindest muss der Verantwortliche darauf hinweisen, wo die Informationen leicht zugänglich sind (z.B. Homepage, Vertragsanlage). Das Gesetz sieht hierzu detaillierte Regelungen sowie Ausnahmen vor (§§ 15, 16 KDG).

Beispiel: Wenn personenbezogene Daten über eine Webseite erhoben werden (z. B. über ein Anmeldeformular), ist auf der Webseite über die Modalitäten der Datenverarbeitung zu informieren. Dies erfolgt im Rahmen der sogenannten Datenschutzerklärung.

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Daten) so bestehen, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt, gesetzliche Meldepflichten binnen 72 Stunden (§ 33 KDG).

Was ist zu tun?
Bitte wenden Sie sich bei derartigen Vorfällen – auch wenn Sie ggf. über die Notwendigkeit der Meldung im Unklaren sind – unverzüglich an Ihren zuständigen betrieblichen Datenschutzbeauftragten, da die gesetzlichen Meldefristen eingehalten werden müssen. Ihr Datenschutzbeauftragter unterstützt Sie beim weiteren Vorgehen.

Sofern anhand dieser Frageliste aufkommende Fragestellungen nicht erschöpfend beantwortet werden können oder wenn darüberhinausgehende Fragestellungen bestehen, wenden Sie sich bitte an Ihren zuständigen betrieblichen Datenschutzbeauftragten.

Datenschutzbeauftragter für das Bischöfliche Generalvikariat und die unselbstständigen Einrichtungen im Bistum: und Datenschutzbeauftragter für Kirchengemeinden und angeschlossene Einrichtungen:

• Rainer Timmerhinrich; Telefon: 0251 495-17055; E-Mail: Datenschutz-Bistum[at]bistum-muenster.de

Wenn Sie nach Durchsicht der Frageliste feststellen, dass für bestimmte Datenverarbeitung ein Anpassungsbedarf besteht, wenden Sie sich auch dann bitte gerne an Ihren zuständigen betrieblichen Datenschutzbeauftragten. Dieser berät Sie gerne. 

Wenn Sie nicht wissen, wer der für Sie zuständige betriebliche Datenschutzbeauftragte ist, wenden Sie sich an Ihre verantwortliche Stelle (Leitung Ihrer Organisationseinheit/Leitung Ihrer Einrichtung/Leitender Pfarrer) oder an die Datenschutzaufsicht. Die Datenschutzaufsicht hält eine Liste aller betrieblichen Datenschutzbeauftragten vor. Sie erreichen die Datenschutzaufsicht unter folgenden Kontaktdaten:

Katholisches Datenschutzzentrum – Körperschaft des öffentlichen Rechts, Brackeler Hellweg 144, 44309 Dortmund, Telefon: 0231 138985-0, Telefax: 0231 138985-22; E-Mail: info[at]kdsz.de