DSGVO: So sind Gemeinden & Non-Profits auf der sicheren Seite

Sie wissen es bestimmt längst:

am 25. Mai tritt die neue Datenschutz-Grundverordnung (DSGVO) in Kraft.

Auch wenn dies zukünftig personenbezogene Daten besser schützen sollte, aktuell sorgt das neue Gesetz kurz vor Inkrafttreten für viel Verunsicherung.

Gerade bei vielen Kirchengemeinden und Non-Profit-Organisationen, die keine Rechtsexperten in ihren Reihen haben.

Deshalb haben wir für Sie alles Wissenswerte rund um die DSGVO, kirchlichen Datenschutz und praxisnahe Lösungen zusammengestellt. In den nächste Abschnitten erwartet Sie:

• eine pointierte Kurz-Darstellung der DSGVO
• eine Einordnung zum Thema kirchlicher Datenschutz & die DSGVO
• Eine Check-Liste für Kirchengemeinden
• Hilfreiche Links zum Thema

Bitte beachten Sie: dieser Artikel stellt keine juristische Beratung dar. Vielmehr versucht er relevante Informationen pointiert und praxisorientiert zu analysieren – um daraus fundierte Handlungsempfehlungen abzuleiten und auf weitere Informationsquellen zu verweisen. Und dies speziell für Kirchengemeinden sowie Non-Profit-Organisationen, die sich im kirchlichen Raum bewegen.

Grundwissen Datenschutz-Grundverordnung (DSGVO)

Was ist die DSGVO?

Das Europäische Parlament und der Rat der Europäischen Union haben am 26.April 2016 das Inkrafttreten eines neuen, grundlegenden Rechtswerks verordnet. Damit wird die Datenverarbeitung innerhalb des europäischen Raums vereinheitlicht.

Den genauen Gesetzestext finden Sie übrigens hier. Zudem hat die EU selbst eine interaktive Infografik erstellt, welche die wichtigsten Informationen auf leichtverständliche Weise vermittelt.

Zuvor galten „nationale Sonderregelungen“, die im Raum der BRD häufig auch schon den Standards der neuen DSGVO entsprachen.

Dieses kurze Video fasst den neuen Status quo zudem gut zusammen:

Was ist das Anliegen der DSVGO?

Schon der Titel der neuen EU-Grundverordnung macht deutlich, worum es geht:

„Verordnung (…) zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“

Zentrales Anliegen ist ergo:

• der Schutz natürlicher Personen (also nicht Unternehmen und Institutionen)
• bei der Verarbeitung sie betreffender, personenbezogener Daten

Dies wird später übrigens im Ersten Absatz der Verordnung eigens als Grundrecht deklariert.

Entsprechend scharf ist die Durchsetzung: Durch hohe Vertragsstrafen sollen Unternehmen dazu gezwungen werden, die Daten von Kunden und Mitarbeitern besser zu schützen. Zwei bis vier Prozent des weltweit erzielten Umsatzes bzw. 10-20 Millionen können maximal als Strafe anfallen.

Was sind personenbezogene Daten?

Noch ist unklar, ob bspw. auch E-Mails, in denen Menschen erwähnt werden, oder Fotos auch unter diese Kategorie fallen. Dies wird die Rechtsprechung zeigen, wie eng hier zukünftig ausgelegt werden wird.

Die EU nennt solche Daten jedoch nicht in ihrer Infografik

Was ändert sich mit der DSGVO?

Die neue EU-Datenschutz-Grundverordnung bedeutet für die Verarbeitung von Daten vor allem dies:

• es muss eine Zweckbindung vorliegen (die Verarbeitung erfolgt nur für festgelegte, eindeutige und legitime Zwecke)
• es ist eine Datenminimierung anzustreben („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)
• Auch auf Speicherbegrenzung muss geachtet werden (Daten müssen fortan „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)
• Es muss ein „Verzeichnis der Verarbeitungstätigkeiten“ angelegt werden
• Die Betroffenen muss Auskunft gewährt werden in „präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“. Und das auch schon bei der Datenerhebung. (Siehe auch Infografik unter dieser Liste. Warum Sie leicht verständliche Sprache verwenden sollten, haben wir Ihnen zudem auch schon einmal hier erläutert.)
• Zudem herrscht das Recht auf Vergessenwerden. Das bedeutet, dass nach Aufforderung alle Daten dieser Person unverzüglich gelöscht werden müssen.

  

Achtung: Die DSGVO betrifft auch Papier!

Die Datenschutzgrundverordnung bezieht sich keinesfalls lediglich auf die elektronisch bzw. digital gesammelten, personenbezogenen Daten. Vielmehr fallen alle Daten darunter, die personenbezogen sind. Die DSGVO gilt ergo genauso für Daten in Papierform. Und dies können auch schriftliche Akten aus alten Archiven sein…

Es wird kompliziert: kirchlicher Datenschutz und die DSGVO

Auch wenn die Kirchen formaljuristisch dem geltenden Europäischen Recht unterliegen, so räumt ihnen das Grundgesetz jedoch ein, ihre Angelegenheiten selbständig zu ordnen und zu verwalten. In Punkto Datenschutz haben beide Großkirchen davon Gebrauch gemacht und eigene Vorschriften eingeführt, die zum Teil von der EU-Datenschutz-Grundverordnung abweichen – oftmals aber auch wortgleich sein können. Ein kurzer Einblick in die Besonderheiten:

Katholische Regelung

Das Katholische Datenschutzgesetz (KDG) weist einige Besonderheiten auf:

• so kümmert es sich auch um die Stellung des „Diözesandatenschutzbeauftragten“ in Kapitel 6,
• und legt fest, dass „Auftragsverarbeiter“ Datenverarbeitungen grundsätzlich nur innerhalb der EU oder Drittstaaten mit „festgestelltem“ angemessenen Datenschutzniveau durchführen dürfen. Dies wirkt sich vor allem auf die Nutzungsmöglichkeiten beispielsweise außereuropäischer Clouddienste aus.
• zudem sind die Sanktionen auf maximal 500.000€ begrenzt und eine eigene Gerichtsbarkeit wird angestrebt.

Den vollständigen Text des KDG können Sie hier einsehen.

Die evangelische Lösung

Zeitgleich zur EU-DSGVO hat auch die EKD ein eigenes Datenschutzrecht erlassen, welches die europäische Verordnung als Bezugsgröße innerhalb der Evangelischen Kirche ersetzt. Sie können das DSG.EKD 2018 hier einsehen. Eine bezeichnende Besonderheit ist bspw. das nur religionsmündige Jugendliche eine digitale Einwilligung erteilen können. Ein erfreulicher Nebeneffekt des Sonderwegs: Das mögliche Bußgeld beträgt „nur“ maximal eine halbe Million Euro – während Unternehmen das zigfache zahlen müssten.

Laut dem Datenschutzbeauftragten der EKD ist dabei eine hohe Deckungsgleichheit mit der europäischen Verordnung gegeben:

„Ich sage mal salopp, 95 Prozent haben wir abgeschrieben, auch weil es gesetzlich geboten war. Ein Unterschied findet sich bei der Höhe der Bußgelder, die verhängt werden dürfen. […] Beim Rest geht es vor allem auch um kirchenspezifische Detailregelungen, etwa Regelungen zu Videoaufzeichnungen im Gottesdienst oder zum Beicht- und Seelsorgegeheimnis.“

Michael Jacob im Interview mit evangelisch.de

Als rechtlicher Sonderraum gelten innerhalb der EKD so auch einige weitergehende Regelungen – zeitgleich gibt es in den Top-Down-Strukturen auch viele hilfreiche Informationsquellen und Vorlagen.

Bärendienst & Unterstützung: Was die kirchlichen Sonderwege bedeuten

Als würde die EU-DSGVO nicht schon genug Verwirrung stiften, sorgen auch die kirchlichen Sonderwege nicht gerade dafür, dass sich der Nebel lichtet.

Gleichzeitig klärt sich die Lage für den Großteil der Betroffenen: für die klassische Ortsgemeinde gilt das Rechtswerk der jeweiligen Kirche. Und hier sind nun auch mögliche Strafen eingegrenzt sowie Übergangsfristen geschaffen. Zudem gibt es oftmals eine spezialisierte Beratungsstruktur (wie leistungsfähig diese im Vergleich zum freien Markt ist, ist eine andere Frage…).

Doch etliche Fragen werden erst durch die Sonderwege aufgeworfen: welchen Richtlinien unterliegt ein selbstständiger Förderverein – DSGVO oder kirchlichem Recht? Und wenn er ökumenisch ist – welchem beider kirchlicher Regelungen?

Welches Gesetzeswerk betrifft eine kirchennahe (g)GmbH – erst recht, wenn die Kirche kein Gesellschafter sein sollte?

Und was, wenn ein internationaler Anbieter (wie bspw. WordPress oder Microsoft) sich zwar der DSVGO unterwirft, nicht jedoch explizit dem DSG-EKD oder KDG?

So sehr das kirchliche Datenschutzrecht auch schützend vor die Gemeinden tritt: es gestaltet vieles komplizierter und wirft für die Praxis-Arbeit zudem einige weitere Fragen auf. Erst recht bei kirchennahen Institutionen und Non-Profits.

Deswegen ein pragmatischer (nicht juristischer!) Rat: befolgen Sie im Zweifelsfall die DSGVO und nehmen Sie deren Erfordernisse in den Blick. Damit bedienen Sie bereits einen Großteil des kirchlichen Datenschutzrechts – welches Sie vielleicht ohnehin schützt vor den Strafen der EU-DSGVO. Klären Sie dies in einem zweiten Schritt ab – und wenden Sie sich nach dem Verursacherprinzip an die, die Sie in diese unklare Lage gebracht haben: die jeweiligen kirchlichen Ämter.

DSGVO-Checkliste: Was Sie als Gemeinde oder Non-Profit jetzt tun können

Soweit die Theorie. Doch was können Gemeinden und Non-Profits tun, um auf der sicheren Seite zu stehen?

Eine Checkliste für die Praxis:

• Benennen Sie eine/n Datenschutzbeauftragte/n. Werden Daten bei Ihnen automatisiert verarbeitet (bspw. bei der Anmeldung zu einem Newsletter), ist ein Datenschutzbeauftragter Pflicht. Es sei denn, es haben nur neun oder weniger Menschen Umgang mit der Datenverarbeitung. Dann ist lediglich der/die Geschäftsführende für den Datenschutz zuständig und somit haftbar.
• Klären Sie Ihre internen Datenprozesse und die jeweiligen Verantwortlichkeiten. Klären Sie, in welcher Form bei Ihnen Daten erhoben, verarbeitet und gespeichert werden. Wie viele Personen haben Zugang zu welchen Informationen? Dokumentieren Sie Ihre Erkenntnisse!
• Stellen Sie sicher, dass Ihre Datenschutzerklärung auf dem neuesten Stand ist. (Links dazu finden Sie am Ende dieses Artikels – sowie eine EU-Grafik unterhalb dieser Liste)
• Klären Sie, ob Sie ausreichende Einwilligungen von bestehenden Kontakten besitzen. Sie müssen spezifische Zustimmungen für jeden Kontakt besitzen, den Sie aufnehmen wollen. Deshalb ist es sinnvoll, abzuklären, für welche Art der Kommunikation Sie Einwilligungen vorliegen haben. Falls diese Einwilligungs-Erklärung unspezifisch, nicht dokumentiert oder älter als 24 Monate ist, müssen Sie  sie wieder einholen. Und zwar via Opt-In-Verfahren. Wirklich sicher sind Sie jedoch mit Double-Opt-In.
• Verfassen Sie DSVGO-konforme Einwilligungs-Erklärungen für neue Kontakte. Geben Sie klar und spezifisch an, welche Daten Sie zu welchem Zweck sammeln werden. Und wann Sie diese löschen.
• Stellen Sie sicher, dass Sie mit jedem „Auftragsverarbeiter“ einen Vertrag zur Datenverarbeitung abgeschlossen haben. Dies kann zum Beispiel Ihr Newsletter-Anbieter sein, oder Ihre Analytics-Software, welche die Homepage-Besuche für Sie auswertet. (Häufig wurde dies durch die Aktualisierung der AGBs von den großen Anbietern bereits vollzogen)
• Verschlüsseln Sie Ihre Webseite, wenn dort ein Kontaktformular existiert. Ein https-Zertifikat gibt es auch schon kostenlos – bspw. von der Let’s Encrypt Allianz. Sie wissen nicht, wie dies geht? Kontaktieren Sie uns einfach – wir unterstützen Sie gerne bei der Umsetzung!
• Holen Sie sich Hilfe „von oben“. Häufig bieten die übergeordneten Strukturen (vor allem in den Kirchen) bereits Materialien und Experten an, die Ihnen bei der Umsetzung des neuen Datenschutz-Rechts helfen können. Eine kleine Liste finden Sie unten angefügt.

 

Doch das Wichtigste: Don’t Panic! Durch Übergangsfristen, die allgemeine Verunsicherung sowie manche Vorgänge, die nur auf Verlangen umzusetzen sind, droht erstmal kein Unheil am Morgen des 25. Mai.

Selbst sollten Sie weiterhin gegen die Richtlinien verstoßen, droht nicht sofort das maximale Bußgeld, sondern erst einmal Schritte, die nicht sofort an die Geldbörse gehen. (Dies ist den offiziellen Stellen auch wichtig zu betonen in der aktuellen Hysterie um mögliche Strafen und Abmahn‘-Anwälte).

Erste Hilfe: diese Links helfen Ihnen weiter

• Eine Sammlung an Formularen, welche die KDO betreffen
• Auch von der EKD gibt es einiges an Materialien zum Datenschutz – inklusive hilfreicher Muster-Vorlagen
•  Ein Leitfaden zur DSVGO von ChurchDesk, einem uns freundschaftlich verbundenen Unternehmen, sowie hier ein hilfreicher Artikel mit vielen weiteren Informationen
• Ein Beitrag des Internetbeauftragten der Evangelischen Kirche im Rheinland zur neuen Datenschutz-Grundverordnung, und was dies für die kirchliche Öffentlichkeitsarbeit bedeutet. Sowie hier eine Einordnung zu TMG, EKD-DSG, DSGVO etc. von selbiger Stelle.
• Der Datenschutzbeauftragte der EKD erläutert das Thema Datenschutz im Interview mit evangelisch.de
• Eine Anleitung, wie man Google Schriftarten lokal speichern kann, sodass die Abfrage bei Google entfällt – was nach kirchlichem Datenschutzrecht bedenklich sein kann.

Helfen Sie uns und anderen:
Haben Sie weitere Links – teilen Sie diese mit uns in den Kommentaren!