Menu

Datenschutz für Verbände

Mitte Mai tritt die neue Datenschutzgrundverordnung (DSGVO) und das kirchliche Datenschutzgesetz (KDG) in Kraft. Wir wollen euch hier sehr kompakt so viele Infos wie nötig zur Vefügung stellen. Dabei erheben wir trotz sorgfältiger Prüfung keinen Anspruch auf Richtigkeit und Vollständigkeit.

 

Betrieblicher Datenschutzbeauftragte*r

Jeder Rechtsträger bei dem mehr als 10 Personen mit Daten arbeiten bzw. sobald besondere Personenmerkmale verarbeitet werden, muss einen betrieblichen Datenschutzbeauftragten (bDSB) benennen. Für uns Jugendverbände bedeutet dies, dass wir durch die Erfassung von Gesundheitsdaten (z.B. Allergien) bzw. Prüfung von erweiterten Führungszeugnissen einen Datenschutzbeauftragten benennen müssen.

Wer die Aufgabe des Datenschutzbeauftragten für die Jugendverbände übernehmen kann, versuchen wir derzeit mit dem Erzbistum zu klären.

 

Server

Egal ob für Homepage, Mail-Programme, backup oder ähnliches werden Server genutzt. Diese müssen natürlich nach dem neuesten Stand der Technik geschützt werden, aber v.a. auch in Deutschland oder zumindest der EU stehen, damit die Datensicherheit auch rechtlich sichergestellt ist.

 

Cloud Lösungen

Die bekannteste und verbreiteste Cloud ist sicherlich Dropbox. Diese solltet ihr nicht weiter nutzen, da die Daten dort keinesfalls sicher sind. Wenn ihr weiterhin mit Cloud-Lösungen arbeiten wollt, nutzt Anbieter, die euch deutsche Server bieten können. Möglich sind hier z.B. Telekomlösungen, owncloud, nextcloud oder Strato.

 

Homepage

Auf nahezu jeder Homepage werden Daten erfasst. Hierzu gehören die offensichtlichen Erfassungen durch Formulare, aber auch Hintergrundsoftware wie bspw. Google Analytics. Wenn ihr Kontaktformulare nutzt, achtet darauf, dass diese verschlüsselt (ssl) übertragen werden. Für die zusätzliche Erfassung der Daten solltet ihr auf die Startseite einen Hinweis auf Coockies setzen. Neben dem Impressum braucht ihr zukünftig eine eigene Datenschutzerklärung. Eine solchen Hinweis könnt ihr auf: http://www.e-recht24.de/ generieren.

 

E-Mail

Auch E-Mail-Adressen gehören zu den personenbezogenen Daten. Dementsprechend darf ohne vorherige Einwilligung ein Mailverteiler nicht öffentlich die Adressen anzeigen. Nutzt für Mail-Verteiler die BCC-Funktion eures Providers bzw. Programms.

Achtet bei der Wahl des Providers darauf, dass auch hier deutsche oder zumindest EU-Server genutzt werden und alle Mails verschlüsselt versendet werden.

 

Anmeldungen

Alle Daten, die ihr im Zuge eurer Anmeldungen zu einer Veranstaltung erfasst sind personenbezogene Daten. Diese müssen so geschützt sein, dass nur die verantwortlichen Zugriff auf die Daten haben. Nicht jede*r Leiter*in während einer Freizeit, braucht alle Daten. Für die Küche reichen bspw. Allergien aus. Was die Weitergabe von Daten, z.B. durch KJP-Listen angeht, sind wir auch noch in der Klärung. Vermutlich muss auf die Anmeldung ein Hinweis, dass die Daten für Zuschussmittel weitergegeben werden dürfen.

Ein möglicher Satz, den ihr ergänzen könnt lautet: „Wir nutzen Daten ausschließlich für verbandliche Zwecke. Wir achten die Privatsphäre unserer Mitglieder und halten selbstverständlich alle Vorgaben und Richtlinien des Datenschutzes ein. Eine Weitergabe der Daten an Dritte erfolgt nur verbandliche Zwecke, wie bspw. Zuschussgeber*innen oder Mitgliedermeldungen.“

 

Bilder

Digitalbilder fallen auch unter die personenbezogenen Daten. Hier greift das KDG in die bisherigen Regelungen des KunstUrhG ein, da die Einwilligung zur Erhebung von personenbezogenen Daten der Schriftform bedarf, d.h. einer Handschriftlich unterschriebenen Einwilligung. Unter besonderen Umständen, kann auch eine andere Form angemessen sein (vgl. §8 Abs. 2 KDG) angemessen sein. Da dies nicht näher ausgeführt ist, empfehlen wir euch nur die Schriftform, damit ihr Rechtssicherheit habt. Wir hoffen, dass es hier noch eine Anpassung erfolgt.

Im April 2018 haben die Diözesandatenschutzbeauftragten beschlossen, dass für die Veröffentlichung von Bildern unter 16-Jährige*r für jede Veröffentlichung (also jedes einzelne Bild) jeweils vorher die Einverständniserklärung eingeholt werden muss. Eine generell Einwilligung vor Ferienfreizeiten würde somit nicht mehr ausreichen.

 

WhatsApp und Soziale Netzwerke

Die Konferenz der Diözesandatenschutzbeauftragten hat beschlossen, dass eine dienstliche Nutzung von WhatsApp nicht zulässig ist und Personenbezogene Daten hierüber nicht versendet werden dürfen. Da WhatsApp, genau wie andere Soziale Netzwerke nicht aus der Jugendarbeit wegzudenken sind, wollen wir euch nicht empfehlen diese nicht mehr zu nutzen.

Tauscht in Sozialen Netzwerken Infos aus, aber keine Adresslisten, Passwörter, Protokolle o.ä. Wenn ihr anlassbezogene Gruppen gründen solltet, klärt untereinander, ob alle mit der Weitergabe der Nummer etc. einverstanden sind.

 

Hilfreiche Links:

·         Übersicht vom BDKJ Speyer: https://www.bdkj-speyer.de/unterstuetzung/geld-material-beratung/datenschutz-in-den-verbaenden/

·         Katholisches Datenschutzzentrum: https://www.katholisches-datenschutzzentrum.de/

·         Blog vom BDKJ Bundesverband: http://digitalelebenswelten.bdkj.de/2018/05/04/eu-dsgvo-kdg-erste-hilfe-datenschutz-im-jugendverband/

·         FAQ vom DPSG-Bundesverband: https://dpsg.de/de/fuer-mitglieder/datenschutz-heute/faq.html


Bei Fragen helfen wir euch gerne weiter:

Volker Andres

Diözesanvorsitzender

 (0221) 1642 6833

andres (a) bdkj-dv-koeln.de

 

 


– BDKJ Diözesanverband Köln 2017