Datenschutz

Infos zur neuen Datenschutzverordnung: DS-GVO & KDG

Sicher habt ihr schon über mehrere Kanäle mitbekommen, dass es seit dem 25.05.2018 ein neues, europaweit geltendes Datenschutzgesetz gibt. Handyanbieter, Firmen, Vereine … Alle sind davon betroffen und erst jetzt wird vielen das Ausmaß klar, welches die neue Gesetzgebung mit sich bringt.
Damit ihr als KLJB gut informiert seid, haben wir euch häufig gestellte Fragen zusammengestellt. Diese sollen euch helfen, das neue Gesetz einzuhalten und so z. B. eure Mitgliederverwaltung oder eure Anmeldungen für Veranstaltungen anzupassen. Zudem gibt es auf dieser Seite einige Muster zum Download, die ihr auf eure Ortsgruppe anpassen könnt.

Für uns sind die neuen Vorschriften auch noch ziemlich neu. Wir haben versucht, nach bestem Wissen und Gewissen euch die Infos aufzubereiten, jedoch sind wir keine Spezialisten/ Spezialistinnen auf diesem Gebiet. Die Informationen, die wir euch hier geben, sind dem Gesetz entsprechend. Was passiert, wenn ihr dieses nicht befolgt, können wir euch nur schwer sagen. Rein rechtlich können bei einem Verstoß hohe Geldstrafen und zusätzliche Anwalts- und Prozesskosten auf euch zukommen. Wie sehr das aber verfolgt wird, bleibt abzuwarten. Aber wir wollen keine Panik machen! Daher hier die wichtigsten Fragen und die dazugehörigen Antworten.

Was bedeutet DS-GVO und KDG überhaupt?

DatenSchutz-GrundVerOrdnung, hier ist festgelegt, wie z. B. Firmen und Vereine mit „personenbezogenen Daten“ umgehen müssen. Als kirchlicher Jugendverband gilt für euch nicht die DSGVO, sondern das Kirchliche-DatenschutzGesetz (KDG). Die Infos die ihr mit diesem Schreiben bekommt sind daher nach den Vorgaben des KDGs. Wobei sich die beiden Gesetze inhaltlich sehr stark ähneln. Der Vorteil, dass ihr unter das KDG fallt, ist, dass die Strafzahlungen bei Verstößen deutlich geringer sind. Der Nachteil daran ist aber auch, dass ihr die Daten noch besser schützen müsst, da die Vorgaben vom KDG in einigen Teilen noch strenger sind.

Was sind „personenbezogene Daten“?

Das sind alle Daten, an denen man eine Person erkennen kann. Darunter fallen zunächst einmal Name, Anschrift und Geburtsdatum oder auch ein Foto. Diese Angaben müssen besonders sensibel behandelt werden. Darüber hinaus gibt es Daten, die einen Menschen ebenfalls erkennbar machen können, wie z. B. Telefonnummer, E-Mailadresse, Kontodaten oder die Mitgliedschaft in einem Verein. Ihr merkt, viele dieser Daten verarbeitet ihr in eurer Mitgliederverwaltung.

Was müssen wir als Ortsgruppe beachten?

Wichtig ist, dass ihr sensibel mit den Daten eurer Mitglieder umgeht. Um das zu prüfen, könnt ihr euch folgende Fragen stellen:

Wofür nutzt ihr die Mitglieder-Daten?

Wichtig für euch als Ortsgruppe: Die Daten dürfen ausschließlich für den Zweck genutzt werden, zu dem sie auch erhoben wurden. Das ist bei euch dann die Jugendarbeit der KLJB in eurem Dorf.

Wer bearbeitet und speichert eure Mitglieder-Daten?

Schriftführer/ Schriftführerin, Kassierer/ Kassiererin oder 1. Vorsitzender/Vorsitzende sind meist Personen, die direkt mit Daten arbeiten, z. B. um Einladungen zu verschicken oder den Jahresbeitrag einzufordern. Eine neue wichtige Änderung ist, dass ihr überprüft, wie viele Personen tatsächlich Zugang zu euren Mitgliederdaten haben. Wenn ihr feststellt, dass 10 Leute oder mehr ständig Zugriff auf diese Daten haben, müsst ihr einen Datenschutzbeauftragten/ eine Datenschutzbeauftragte ernennen, der sich dann mit dem Thema „Datensicherheit“ auseinandersetzt und darauf achtet, dass die Verordnung eingehalten wird.

Auch wenn dies wahrscheinlich bei euch in der Ortsgruppe nicht der Fall ist, so ist es aus unserer Sicht sinnvoll, dass jemand aus eurem Vorstand für das Thema Datenschutz zuständig ist, um stets auf dem Laufenden zu bleiben.

Grundsätzlich gilt der Vorsatz der Datensparsamkeit: Es sollten wirklich nur die Daten gespeichert werden, die benötigt werden.

Wo speichert ihr eure Mitgliederdaten?

Speichert ihr die Daten lediglich auf dem Laptop des Schriftführers/ der Schriftführerin, des Kassierers/ der Kassiererin oder des/ der 1. Vorsitzenden? Dann müsst ihr gewährleisten, dass sich niemand Zugang zu diesen Daten verschaffen kann, z. B. durch einen Passwortschutz. Richtig schwierig wird es, wenn ihr eure Mitgliederdaten für alle im Vorstand zugriffsbereit in einer Cloud speichert. Der Server der Cloud muss sich in einem EU-Land befinden (neue Vorschrift) und außerdem haben durch diese Speicherform mehr als 10 Leute Zugang zu den Daten. Generell raten wir euch von der Speicherung eurer Mitgliedsdaten in einer Cloud ab.

An wen gebt ihr eure Mitgliederdaten weiter?

Jedes Jahr schickt ihr eure Mitgliederlisten an die D-Stelle, damit wir daraufhin die Beitragsrechnung an eure Ortsgruppe verschicken können. Im Sinne der Datensparsamkeit brauchen wir dafür nur folgende Angaben von euren Mitgliedern: Name, Adresse, Eintrittsdatum und die Ortsgruppe. Muster hier für findet ihr in unserem Arbeitsspeicher „Mitgliederverwaltung“ oder ihr fragt in der D-Stelle nach.
Vom Vorstand benötigen wir zusätzlich noch weitere Angaben: Amt innerhalb des Vorstandes, Telefonnummer und E-Mailadresse. Alle weiteren Daten, wie Bankdaten etc., fragen wir immer mit den Anmeldedaten bei Veranstaltungen ab und diese werden auch nur für diesen Zweck verwendet.

Muss ich jetzt von allen KLJB Mitgliedern eine Einwilligungserklärung zur Datenverarbeitung einholen?

Nein. Für die Verarbeitung von Daten von KLJBLern und KLJBlerinnen, die ihr zum Zwecke der Mitgliederverwaltung einholt, benötigt ihr keine Einwilligung. Wichtig ist nur, dass Neumitglieder bei der Aufnahme in die KLJB über die Verarbeitung der Daten aufgeklärt werden. Dazu könnt ihr die Muster zur Datenschutzerklärung nutzen. Hinzu kommt aber, dass jedes Mitglied das Recht hat, auf Anfrage zu erfahren, welche Daten von ihm/ihr gespeichert werden und dass die Daten gelöscht werden (sofern sie nicht für die Buchhaltung etc. aufbewahrt werden müssen). Kommt ihr dem nicht nach, so kann sich jedes KLJB Mitglied bei dem kirchlichen Datenschutzzentrum in Dortmund über euch beschweren.

Darf ich noch Fotos veröffentlichen?

Ja und nein. Grundsätzlich habt ihr als KLJB ein Interesse daran, dass ihr Fotos veröffentlicht um zum Beispiel eure Mitglieder darüber zu informieren, wer aktuell in eurem Vorstand ist. Auch über eure anderen Aktivitäten dürft ihr durch Fotos berichten, Voraussetzung ist aber, dass ihr die abgebildeten Personen vorher ausreichend informiert habt, dass das Foto veröffentlicht werden soll und das diese Fotos die Person nicht in irgendeiner Weise kränkt oder bloßstellt. Ihr als Veranstalter seit hier immer in der Informations- und Verantwortungspflicht und müsst transparent machen, wofür Fotos verwendet werden.

Besonders ist allerdings, dass ihr bei Jugendlichen unter 16 für jedes Foto eine schriftliche Erklärung der Sorgeberechtigten braucht, dass das Foto veröffentlicht werden darf!

Als Grundsatz solltet ihr immer nur die Fotos veröffentlichen, die euch selbst in 10 Jahren, nicht unangenehm sind.

Instagram, Facebook, Snapchat …

Jeder nutzt die beliebten sozialen Medien, auch wir als Diözesanverband. Und doch weiß auch jeder, dass diese Netzwerke eigentlich ein Alptraum für die Datensparsamkeit sind. Zudem stehen die Server der Netzwerke meist nicht innerhalb der EU und dies steht im Konflikt mit dem neuen KDG. Trotzdem wollen wir euch nicht empfehlen, eure bisherigen Konten zu löschen. Sie sind Teil eurer Kommunikation und auch nicht mehr wegzudenken.

Wir wollen euch eher dafür sensibilisieren, wie ihr mit den Daten in den Netzwerken umgeht. Tauscht über diese Netzwerke Infos aus, berichtet oder werbt für Veranstaltungen. Aber nutzt sie nicht, um Namen, Adressen, Passwörter oder Protokolle zu verschicken.

Dropbox

Die Dropbox ist wahrscheinlich die beliebteste und am meisten verbreitete Cloud. Da diese aber die Daten nicht innerhalb der EU sichert, solltet ihr zu einer anderen wechseln. Hier einige Alternativen für euch: owncloud, nextcloud, Strato oder Telekomlösungen. Fragt auch mal bei eurer Gemeinde nach, vielleicht könnt ihr deren Cloudlösung mitnutzen. Vergesst aber nicht, die Daten aus eurer bisherigen Cloud zu löschen, bevor ihr wechselt.

E-Mail

Ihr dürft auch weiterhin Informationen (die die KLJB betreffen) per Mail verschicken. Vorausgesetzt, ihr benutzt keine besondere Newsletter-Software. Achtet zukünftig darauf, dass ihr alle E-Mail-Adressen in das „BCC“-Feld eintragt. So kann sichergestellt werden, dass ihr die E-Mail-Adressen nicht für alle Empfänger sichtbar macht, denn dies wäre eine Datenweitergabe und ohne gesonderte Einwilligung verboten.

WhatsApp

Für viele ist der unkomplizierteste Weg, mit jemanden in Kontakt zu treten, der Messengerdienst WhatsApp. Jedoch speichert auch WhatsApp die Daten nicht ausschließlich in der EU und ist somit eigentlich kein geeignetes Kommunikationsmedium mehr. Personenbezogene Daten dürfen nicht mehr per WhatsApp versendet werden, z. B. dürft ihr auch keine Kontakte mehr weiterleiten, da ja auch die Handynummer eine personenbezogene Datei ist. Ebenso verhält es sich mit der Erstellung von Gruppen, da ihr dadurch Handynummern für alle Gruppenteilnehmer sichtbar macht. Außerdem muss man WhatsApp immer erlauben, dass das vollständige Telefonbuch eingesehen werden darf. Also gebt ihr durch die Nutzung von WhatsApp auch Handynummern von Personen weiter, die sich bewusst gegen die Verwendung von WhatsApp entschieden haben.

Solltet ihr WhatsApp als Privatperson weiternutzen (das ist nicht verboten!), so gewöhnt euch an, bevor ihr einen Kontakt weiterleitet oder eine Gruppe erstellt, bei der jeweiligen Person um die Erlaubnis der Weitergabe der Telefonnummer zu bitten.

Was ist ein Verarbeitungsverzeichnis und wofür brauchen wir es?

Mit dem Verarbeitungsverzeichnis dokumentiert ihr, wie ihr die Vorgaben des KDGs umsetzt. Dabei beschreibt ihr immer den aktuellen IST-Zustand. Verändert ihr also eure Vorgehensweise in der Datenverarbeitung, so müsst ihr auch das Verarbeitungsverzeichnis aktualisieren. Das Verzeichnis kann von einer Behörde angefordert werden, die prüft, wie ihr mit den Daten eurer Mitglieder umgeht. Dieses Verzeichnis muss bis zum 30. Juni 2019 erstellt werden. Eine sehr gute Vorlage dafür, wie ein solches Verzeichnis aussehen kann findet ihr hier.

Ansprechpartner für diesen Beitrag

Andrea Wensing

Diözesanreferentin

Telefon: 0251 53913-19
E-Mail: Bitte aktivieren Sie JavaScript, um die E-Mail-Adresse anzuzeigen.

Ländliche Familienberatung