DSGVO: So sind Gemeinden & Non-Profits auf der sicheren Seite

Sie wissen es bestimmt längst:

am 25. Mai tritt die neue Daten­schutz-Grund­ver­ord­nung (DSGVO) in Kraft.

Auch wenn dies zukünftig perso­nen­be­zo­gene Daten besser schützen sollte, aktuell sorgt das neue Gesetz kurz vor Inkraft­treten für viel Verun­si­che­rung.

Gerade bei vielen Kirchen­ge­meinden und Non-Profit-Orga­ni­sa­tionen, die keine Rechts­ex­perten in ihren Reihen haben.

Deshalb haben wir für Sie alles Wissens­werte rund um die DSGVO, kirch­li­chen Daten­schutz und praxis­nahe Lösungen zusam­men­ge­stellt. In den nächste Abschnitten erwartet Sie:

  • eine poin­tierte Kurz-Darstel­lung der DSGVO
  • eine Einord­nung zum Thema kirch­li­cher Daten­schutz & die DSGVO
  • Eine Check-Liste für Kirchen­ge­meinden
  • Hilf­reiche Links zum Thema

Bitte beachten Sie: dieser Artikel stellt keine juris­ti­sche Beratung dar. Vielmehr versucht er relevante Infor­ma­tionen pointiert und praxis­ori­en­tiert zu analy­sieren – um daraus fundierte Hand­lungs­emp­feh­lungen abzu­leiten und auf weitere Infor­ma­ti­ons­quellen zu verweisen. Und dies speziell für Kirchen­ge­meinden sowie Non-Profit-Orga­ni­sa­tionen, die sich im kirch­li­chen Raum bewegen.

Grund­wissen Daten­schutz-Grund­ver­ord­nung (DSGVO)

Was ist die DSGVO?

Das Euro­päi­sche Parlament und der Rat der Euro­päi­schen Union haben am 26.April 2016 das Inkraft­treten eines neuen, grund­le­genden Rechts­werks verordnet. Damit wird die Daten­ver­ar­bei­tung innerhalb des euro­päi­schen Raums verein­heit­licht.

Den genauen Geset­zes­text finden Sie übrigens hier. Zudem hat die EU selbst eine inter­ak­tive Info­grafik erstellt, welche die wich­tigsten Infor­ma­tionen auf leicht­ver­ständ­liche Weise vermit­telt.

Zuvor galten “nationale Sonder­re­ge­lungen”, die im Raum der BRD häufig auch schon den Standards der neuen DSGVO entspra­chen.

Dieses kurze Video fasst den neuen Status quo zudem gut zusammen:

Was ist das Anliegen der DSVGO?

Schon der Titel der neuen EU-Grund­ver­ord­nung macht deutlich, worum es geht:

Verord­nung (…) zum Schutz natür­li­cher Personen bei der Verar­bei­tung perso­nen­be­zo­gener Daten, zum freien Daten­ver­kehr und zur Aufhebung der Richt­linie 95/46/EG

Zentrales Anliegen ist ergo:

  • der Schutz natür­li­cher Personen (also nicht Unter­nehmen und Insti­tu­tionen)
  • bei der Verar­bei­tung sie betref­fender, perso­nen­be­zo­gener Daten

Dies wird später übrigens im Ersten Absatz der Verord­nung eigens als Grund­recht dekla­riert.

Entspre­chend scharf ist die Durch­set­zung: Durch hohe Vertrags­strafen sollen Unter­nehmen dazu gezwungen werden, die Daten von Kunden und Mitar­bei­tern besser zu schützen. Zwei bis vier Prozent des weltweit erzielten Umsatzes bzw. 10–20 Millionen können maximal als Strafe anfallen.

Was sind perso­nen­be­zo­gene Daten?

Personenbezogene Daten, welche unter die DSVGO fallen
Was sind perso­nen­be­zo­gene Daten, welche unter die DSGVO fallen? (quelle: Datenschutz.org)

Noch ist unklar, ob bspw. auch E-Mails, in denen Menschen erwähnt werden, oder Fotos auch unter diese Kategorie fallen. Dies wird die Recht­spre­chung zeigen, wie eng hier zukünftig ausgelegt werden wird.

Die EU nennt solche Daten jedoch nicht in ihrer Info­grafik

Infografik EU personenbezogene Daten EU-DSGVO
Perso­nen­be­zo­gene Daten laut der Info­grafik der EU (Screen­shot | Quelle: EU)

Was ändert sich mit der DSGVO?

Die neue EU-Daten­schutz-Grund­ver­ord­nung bedeutet für die Verar­bei­tung von Daten vor allem dies:

  • es muss eine Zweck­bin­dung vorliegen (die Verar­bei­tung erfolgt nur für fest­ge­legte, eindeu­tige und legitime Zwecke)
  • es ist eine Daten­mi­ni­mie­rung anzu­streben („dem Zweck ange­messen und erheblich sowie auf das […] notwen­dige Maß beschränkt“)
  • Auch auf Spei­cher­be­gren­zung muss geachtet werden (Daten müssen fortan „in einer Form gespei­chert werden, die die Iden­ti­fi­zie­rung der betrof­fenen Personen nur so lange ermög­licht, wie es […] erfor­der­lich ist“)
  • Es muss ein „Verzeichnis der Verar­bei­tungs­tä­tig­keiten“ angelegt werden
  • Die Betrof­fenen muss Auskunft gewährt werden in „präziser, trans­pa­renter, verständ­li­cher und leicht zugäng­li­cher Form in einer klaren und einfachen Sprache“. Und das auch schon bei der Daten­er­he­bung. (Siehe auch Info­grafik unter dieser Liste. Warum Sie leicht verständ­liche Sprache verwenden sollten, haben wir Ihnen zudem auch schon einmal hier erläutert.)
  • Zudem herrscht das Recht auf Verges­sen­werden. Das bedeutet, dass nach Auffor­de­rung alle Daten dieser Person unver­züg­lich gelöscht werden müssen.

    Datenschutzrichtlinien Infografik EU-DSGVO
    Was müssen Sie erläutern? (Quelle: EU)

Achtung: Die DSGVO betrifft auch Papier!

Die Daten­schutz­grund­ver­ord­nung bezieht sich keines­falls lediglich auf die elek­tro­nisch bzw. digital gesam­melten, perso­nen­be­zo­genen Daten. Vielmehr fallen alle Daten darunter, die perso­nen­be­zogen sind. Die DSGVO gilt ergo genauso für Daten in Papier­form. Und dies können auch schrift­liche Akten aus alten Archiven sein…

Es wird kompli­ziert: kirch­li­cher Daten­schutz und die DSGVO

Auch wenn die Kirchen formal­ju­ris­tisch dem geltenden Euro­päi­schen Recht unter­liegen, so räumt ihnen das Grund­ge­setz jedoch ein, ihre Ange­le­gen­heiten selb­ständig zu ordnen und zu verwalten. In Punkto Daten­schutz haben beide Groß­kir­chen davon Gebrauch gemacht und eigene Vorschriften einge­führt, die zum Teil von der EU-Daten­schutz-Grund­ver­ord­nung abweichen – oftmals aber auch wort­gleich sein können. Ein kurzer Einblick in die Beson­der­heiten:

Katho­li­sche Regelung

Das Katho­li­sche Daten­schutz­ge­setz (KDG) weist einige Beson­der­heiten auf:

  • so kümmert es sich auch um die Stellung des „Diöze­san­da­ten­schutz­be­auf­tragten“ in Kapitel 6,
  • und legt fest, dass “Auftrags­ver­ar­beiter” Daten­ver­ar­bei­tungen grund­sätz­lich nur innerhalb der EU oder Dritt­staaten mit “fest­ge­stelltem” ange­mes­senen Daten­schutz­ni­veau durch­führen dürfen. Dies wirkt sich vor allem auf die Nutzungs­mög­lich­keiten beispiels­weise außer­eu­ro­päi­scher Cloud­dienste aus.
  • zudem sind die Sank­tionen auf maximal 500.000€ begrenzt und eine eigene Gerichts­bar­keit wird ange­strebt.

Den voll­stän­digen Text des KDG können Sie hier einsehen.

Die evan­ge­li­sche Lösung

Zeit­gleich zur EU-DSGVO hat auch die EKD ein eigenes Daten­schutz­recht erlassen, welches die euro­päi­sche Verord­nung als Bezugs­größe innerhalb der Evan­ge­li­schen Kirche ersetzt. Sie können das DSG.EKD 2018 hier einsehen. Eine bezeich­nende Beson­der­heit ist bspw. das nur reli­gi­ons­mün­dige Jugend­liche eine digitale Einwil­li­gung erteilen können. Ein erfreu­li­cher Neben­ef­fekt des Sonder­wegs: Das mögliche Bußgeld beträgt “nur” maximal eine halbe Million Euro – während Unter­nehmen das zigfache zahlen müssten.

Laut dem Daten­schutz­be­auf­tragten der EKD ist dabei eine hohe Deckungs­gleich­heit mit der euro­päi­schen Verord­nung gegeben:

Ich sage mal salopp, 95 Prozent haben wir abge­schrieben, auch weil es gesetz­lich geboten war. Ein Unter­schied findet sich bei der Höhe der Bußgelder, die verhängt werden dürfen. […] Beim Rest geht es vor allem auch um kirchen­spe­zi­fi­sche Detail­re­ge­lungen, etwa Rege­lungen zu Video­auf­zeich­nungen im Gottes­dienst oder zum Beicht- und Seel­sor­ge­ge­heimnis.”

Michael Jacob im Interview mit evangelisch.de

Als recht­li­cher Sonder­raum gelten innerhalb der EKD so auch einige weiter­ge­hende Rege­lungen – zeit­gleich gibt es in den Top-Down-Struk­turen auch viele hilf­reiche Infor­ma­ti­ons­quellen und Vorlagen.

Bären­dienst & Unter­stüt­zung: Was die kirch­li­chen Sonder­wege bedeuten

Als würde die EU-DSGVO nicht schon genug Verwir­rung stiften, sorgen auch die kirch­li­chen Sonder­wege nicht gerade dafür, dass sich der Nebel lichtet.

Gleich­zeitig klärt sich die Lage für den Großteil der Betrof­fenen: für die klas­si­sche Orts­ge­meinde gilt das Rechts­werk der jewei­ligen Kirche. Und hier sind nun auch mögliche Strafen einge­grenzt sowie Über­gangs­fristen geschaffen. Zudem gibt es oftmals eine spezia­li­sierte Bera­tungs­struktur (wie leis­tungs­fähig diese im Vergleich zum freien Markt ist, ist eine andere Frage…).

Doch etliche Fragen werden erst durch die Sonder­wege aufge­worfen: welchen Richt­li­nien unter­liegt ein selbst­stän­diger Förder­verein – DSGVO oder kirch­li­chem Recht? Und wenn er ökume­nisch ist – welchem beider kirch­li­cher Rege­lungen?

Welches Geset­zes­werk betrifft eine kirchen­nahe (g)GmbH – erst recht, wenn die Kirche kein Gesell­schafter sein sollte?

Und was, wenn ein inter­na­tio­naler Anbieter (wie bspw. WordPress oder Microsoft) sich zwar der DSVGO unter­wirft, nicht jedoch explizit dem DSG-EKD oder KDG?

So sehr das kirch­liche Daten­schutz­recht auch schützend vor die Gemeinden tritt: es gestaltet vieles kompli­zierter und wirft für die Praxis-Arbeit zudem einige weitere Fragen auf. Erst recht bei kirchen­nahen Insti­tu­tionen und Non-Profits.

Deswegen ein prag­ma­ti­scher (nicht juris­ti­scher!) Rat: befolgen Sie im Zwei­fels­fall die DSGVO und nehmen Sie deren Erfor­der­nisse in den Blick. Damit bedienen Sie bereits einen Großteil des kirch­li­chen Daten­schutz­rechts – welches Sie viel­leicht ohnehin schützt vor den Strafen der EU-DSGVO. Klären Sie dies in einem zweiten Schritt ab – und wenden Sie sich nach dem Verur­sa­cher­prinzip an die, die Sie in diese unklare Lage gebracht haben: die jewei­ligen kirch­li­chen Ämter.

DSGVO-Check­liste: Was Sie als Gemeinde oder Non-Profit jetzt tun können

Soweit die Theorie. Doch was können Gemeinden und Non-Profits tun, um auf der sicheren Seite zu stehen?

Eine Check­liste für die Praxis:

  • Benennen Sie eine/n Datenschutzbeauftragte/n. Werden Daten bei Ihnen auto­ma­ti­siert verar­beitet (bspw. bei der Anmeldung zu einem News­letter), ist ein Daten­schutz­be­auf­tragter Pflicht. Es sei denn, es haben nur neun oder weniger Menschen Umgang mit der Daten­ver­ar­bei­tung. Dann ist lediglich der/die Geschäfts­füh­rende für den Daten­schutz zuständig und somit haftbar.
  • Klären Sie Ihre internen Daten­pro­zesse und die jewei­ligen Verant­wort­lich­keiten. Klären Sie, in welcher Form bei Ihnen Daten erhoben, verar­beitet und gespei­chert werden. Wie viele Personen haben Zugang zu welchen Infor­ma­tionen? Doku­men­tieren Sie Ihre Erkennt­nisse!
  • Stellen Sie sicher, dass Ihre Daten­schutz­er­klä­rung auf dem neuesten Stand ist. (Links dazu finden Sie am Ende dieses Artikels – sowie eine EU-Grafik unterhalb dieser Liste)
  • Klären Sie, ob Sie ausrei­chende Einwil­li­gungen von bestehenden Kontakten besitzen. Sie müssen spezi­fi­sche Zustim­mungen für jeden Kontakt besitzen, den Sie aufnehmen wollen. Deshalb ist es sinnvoll, abzu­klären, für welche Art der Kommu­ni­ka­tion Sie Einwil­li­gungen vorliegen haben. Falls diese Einwil­li­gungs-Erklärung unspe­zi­fisch, nicht doku­men­tiert oder älter als 24 Monate ist, müssen Sie  sie wieder einholen. Und zwar via Opt-In-Verfahren. Wirklich sicher sind Sie jedoch mit Double-Opt-In.
  • Verfassen Sie DSVGO-konforme Einwil­li­gungs-Erklä­rungen für neue Kontakte. Geben Sie klar und spezi­fisch an, welche Daten Sie zu welchem Zweck sammeln werden. Und wann Sie diese löschen.
  • Stellen Sie sicher, dass Sie mit jedem “Auftrags­ver­ar­beiter” einen Vertrag zur Daten­ver­ar­bei­tung abge­schlossen haben. Dies kann zum Beispiel Ihr News­letter-Anbieter sein, oder Ihre Analytics-Software, welche die Homepage-Besuche für Sie auswertet. (Häufig wurde dies durch die Aktua­li­sie­rung der AGBs von den großen Anbietern bereits vollzogen)
  • Verschlüs­seln Sie Ihre Webseite, wenn dort ein Kontakt­for­mular existiert. Ein https-Zerti­fikat gibt es auch schon kostenlos – bspw. von der Let’s Encrypt Allianz. Sie wissen nicht, wie dies geht? Kontak­tieren Sie uns einfach – wir unter­stützen Sie gerne bei der Umsetzung!
  • Holen Sie sich Hilfe “von oben”. Häufig bieten die über­ge­ord­neten Struk­turen (vor allem in den Kirchen) bereits Mate­ria­lien und Experten an, die Ihnen bei der Umsetzung des neuen Daten­schutz-Rechts helfen können. Eine kleine Liste finden Sie unten angefügt.
Aufzeichnungen EU-DSGVO
Was müssen Sie ausweisen und aufzeichnen? (Quelle: EU/Screenshot)

 

Doch das Wich­tigste: Don’t Panic! Durch Über­gangs­fristen, die allge­meine Verun­si­che­rung sowie manche Vorgänge, die nur auf Verlangen umzu­setzen sind, droht erstmal kein Unheil am Morgen des 25. Mai.

Selbst sollten Sie weiterhin gegen die Richt­li­nien verstoßen, droht nicht sofort das maximale Bußgeld, sondern erst einmal Schritte, die nicht sofort an die Geldbörse gehen. (Dies ist den offi­zi­ellen Stellen auch wichtig zu betonen in der aktuellen Hysterie um mögliche Strafen und Abmahn’-Anwälte).

DSGVO Strafen Maßnahmen Bußgelder Abmahnungen
Die Stei­ge­rung der Maßnahmen bei Verstoß gegen die DSVGO (Screen­shot| Quelle: EU)

Erste Hilfe: diese Links helfen Ihnen weiter

Helfen Sie uns und anderen:
Haben Sie weitere Links — teilen Sie diese mit uns in den Kommen­taren!

Abspann

Dieser Beitrag wurde Ihnen präsentiert von der Werteagentur telos communication.

Das Start-Up für gemeinnützige Kommunikation unterstützt besonders bevorzugt Kirchengemeinden auf dem Weg zu einer erfolgreicheren Kommunikation – getreu dem Leitspruch Gutes besser kommunizieren.

Beide Gründer studierten vor Ihrem Wechsel in die Kommunikationsbranche selbst erfolgreich Theologie und kennen die kirchliche Kommunikation somit sowohl aus der Theorie als auch aus der Praxis.

Mehr erfahren Sie unter www.telos-communication.de oder HIER auf diesem Blog.

Möchten Sie kommende Artikel nicht mehr verpassen?

Dann abonnieren Sie Kirchen Kommunikation via E-Mail!
So erhalten Sie alle kommenden Beitrag direkt in Ihr Mail-Postfach.

Und das gänzlich ohne lästige Werbemails!


Teilen Sie diesen Beitrag mit anderen!

2 Gedanken zu „DSGVO: So sind Gemeinden & Non-Profits auf der sicheren Seite&8220;

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*