Ein Warnhütchen steht auf der Tastatur, symbolisiert die Gefahr der neuen DSVGO für Gemeinden und Kirchen

DSGVO: So sind Gemeinden & Non-Profits auf der sicheren Seite

Sie wissen es bestimmt längst:

am 25. Mai tritt die neue Daten­schutz-Grund­ver­ord­nung (DSGVO) in Kraft.

Auch wenn dies zukünftig perso­nen­be­zo­gene Daten besser schützen sollte, aktuell sorgt das neue Gesetz kurz vor Inkraft­treten für viel Verun­si­che­rung.

Gerade bei vielen Kirchen­ge­meinden und Non-Profit-Orga­ni­sa­tionen, die keine Rechts­ex­perten in ihren Reihen haben.

Deshalb haben wir für Sie alles Wissens­werte rund um die DSGVO, kirch­li­chen Daten­schutz und praxis­nahe Lösungen zusam­men­ge­stellt. In den nächste Abschnitten erwartet Sie:

  • eine poin­tierte Kurz-Darstel­lung der DSGVO
  • eine Einord­nung zum Thema kirch­li­cher Daten­schutz & die DSGVO
  • Eine Check-Liste für Kirchen­ge­meinden
  • Hilf­reiche Links zum Thema

Bitte beachten Sie: dieser Artikel stellt keine juris­ti­sche Beratung dar. Vielmehr versucht er relevante Infor­ma­tionen pointiert und praxis­ori­en­tiert zu analy­sieren – um daraus fundierte Hand­lungs­emp­feh­lungen abzu­leiten und auf weitere Infor­ma­ti­ons­quellen zu verweisen. Und dies speziell für Kirchen­ge­meinden sowie Non-Profit-Orga­ni­sa­tionen, die sich im kirch­li­chen Raum bewegen.

Grund­wissen Daten­schutz-Grund­ver­ord­nung (DSGVO)

Was ist die DSGVO?

Das Euro­päi­sche Parlament und der Rat der Euro­päi­schen Union haben am 26.April 2016 das Inkraft­treten eines neuen, grund­le­genden Rechts­werks verordnet. Damit wird die Daten­ver­ar­bei­tung innerhalb des euro­päi­schen Raums verein­heit­licht.

Den genauen Geset­zes­text finden Sie übrigens hier. Zudem hat die EU selbst eine inter­ak­tive Info­grafik erstellt, welche die wich­tigsten Infor­ma­tionen auf leucht­ver­ständ­liche Weise vermit­telt.

Zuvor galten “nationale Sonder­re­ge­lungen”, die im Raum der BRD häufig auch schon den Standards der neuen DSGVO entspra­chen.

Dieses kurze Video fasst den neuen Status quo zudem gut zusammen:

Was ist das Anliegen der DSVGO?

Schon der Titel der neuen EU-Grund­ver­ord­nung macht deutlich, worum es geht:

Verord­nung (…) zum Schutz natür­li­cher Personen bei der Verar­bei­tung perso­nen­be­zo­gener Daten, zum freien Daten­ver­kehr und zur Aufhebung der Richt­linie 95/46/EG

Zentrales Anliegen ist ergo:

  • der Schutz natür­li­cher Personen (also nicht Unter­nehmen und Insti­tu­tionen)
  • bei der Verar­bei­tung sie betref­fender, perso­nen­be­zo­gener Daten

Dies wird später übrigens im Ersten Absatz der Verord­nung eigens als Grund­recht dekla­riert.

Entspre­chend scharf ist die Durch­set­zung: Durch hohe Vertrags­strafen sollen Unter­nehmen dazu gezwungen werden, die Daten von Kunden und Mitar­bei­tern besser zu schützen. Zwei bis vier Prozent des weltweit erzielten Umsatzes bzw. 10–20 Millionen können maximal als Strafe anfallen.

Was sind perso­nen­be­zo­gene Daten?

Personenbezogene Daten, welche unter die DSVGO fallen
Was sind perso­nen­be­zo­gene Daten, welche unter die DSGVO fallen? (quelle: Datenschutz.org)

Noch ist unklar, ob bspw. auch E-Mails, in denen Menschen erwähnt werden, oder Fotos auch unter diese Kategorie fallen. Dies wird die Recht­spre­chung zeigen, wie eng hier zukünftig ausgelegt werden wird.

Die EU nennt solche Daten jedoch nicht in ihrer Info­grafik

Infografik EU personenbezogene Daten EU-DSGVO
Perso­nen­be­zo­gene Daten laut der Info­grafik der EU (Screen­shot | Quelle: EU)

Was ändert sich mit der DSGVO?

Die neue EU-Daten­schutz-Grund­ver­ord­nung bedeutet für die Verar­bei­tung von Daten vor allem dies:

  • es muss eine Zweck­bin­dung vorliegen (die Verar­bei­tung erfolgt nur für fest­ge­legte, eindeu­tige und legitime Zwecke)
  • es ist eine Daten­mi­ni­mie­rung anzu­streben („dem Zweck ange­messen und erheblich sowie auf das […] notwen­dige Maß beschränkt“)
  • Auch auf Spei­cher­be­gren­zung muss geachtet werden (Daten müssen fortan „in einer Form gespei­chert werden, die die Iden­ti­fi­zie­rung der betrof­fenen Personen nur so lange ermög­licht, wie es […] erfor­der­lich ist“)
  • Es muss ein „Verzeichnis der Verar­bei­tungs­tä­tig­keiten“ angelegt werden
  • Die Betrof­fenen muss Auskunft gewährt werden in „präziser, trans­pa­renter, verständ­li­cher und leicht zugäng­li­cher Form in einer klaren und einfachen Sprache“. Und das auch schon bei der Daten­er­he­bung. (Siehe auch Info­grafik unter dieser Liste. Warum Sie leicht verständ­liche Sprache verwenden sollten, haben wir Ihnen zudem auch schon einmal hier erläutert.)
  • Zudem herrscht das Recht auf Verges­sen­werden. Das bedeutet, dass nach Auffor­de­rung alle Daten dieser Person unver­züg­lich gelöscht werden müssen.

    Datenschutzrichtlinien Infografik EU-DSGVO
    Was müssen Sie erläutern? (Quelle: EU)

Achtung: Die DSGVO betrifft auch Papier!

Die Daten­schutz­grund­ver­ord­nung bezieht sich keines­falls lediglich auf die elek­tro­nisch bzw. digital gesam­melten, perso­nen­be­zo­genen Daten. Vielmehr fallen alle Daten darunter, die perso­nen­be­zogen sind. Die DSGVO gilt ergo genauso für Daten in Papier­form. Und dies können auch schrift­liche Akten aus alten Archiven sein…

Es wird kompli­ziert: kirch­li­cher Daten­schutz und die DSGVO

Auch wenn die Kirchen formal­ju­ris­tisch dem geltenden Euro­päi­schen Recht unter­liegen, so räumt ihnen das Grund­ge­setz jedoch ein, ihre Ange­le­gen­heiten selb­ständig zu ordnen und zu verwalten. In Punkto Daten­schutz haben beide Groß­kir­chen davon Gebrauch gemacht und eigene Vorschriften einge­führt, die zum Teil von der EU-Daten­schutz-Grund­ver­ord­nung abweichen – oftmals aber auch wort­gleich sein können. Ein kurzer Einblick in die Beson­der­heiten:

Katho­li­sche Regelung

Das Katho­li­sche Daten­schutz­ge­setz (KDG) weist einige Beson­der­heiten auf:

  • so kümmert es sich auch um die Stellung des „Diöze­san­da­ten­schutz­be­auf­tragten“ in Kapitel 6,
  • und legt fest, dass “Auftrags­ver­ar­beiter” Daten­ver­ar­bei­tungen grund­sätz­lich nur innerhalb der EU oder Dritt­staaten mit “fest­ge­stelltem” ange­mes­senen Daten­schutz­ni­veau durch­führen dürfen. Dies wirkt sich vor allem auf die Nutzungs­mög­lich­keiten beispiels­weise außer­eu­ro­päi­scher Cloud­dienste aus.
  • zudem sind die Sank­tionen auf maximal 500.000€ begrenzt und eine eigene Gerichts­bar­keit wird ange­strebt.

Den voll­stän­digen Text des KDG können Sie hier einsehen.

Die evan­ge­li­sche Lösung

Zeit­gleich zur EU-DSGVO hat auch die EKD ein eigenes Daten­schutz­recht erlassen, welches die euro­päi­sche Verord­nung als Bezugs­größe innerhalb der Evan­ge­li­schen Kirche ersetzt. Sie können das DSG.EKD 2018 hier einsehen. Eine bezeich­nende Beson­der­heit ist bspw. das nur reli­gi­ons­mün­dige Jugend­liche eine digitale Einwil­li­gung erteilen können. Ein erfreu­li­cher Neben­ef­fekt des Sonder­wegs: Das mögliche Bußgeld beträgt “nur” maximal eine halbe Million Euro – während Unter­nehmen das zigfache zahlen müssten.

Laut dem Daten­schutz­be­auf­tragten der EKD ist dabei eine hohe Deckungs­gleich­heit mit der euro­päi­schen Verord­nung gegeben:

Ich sage mal salopp, 95 Prozent haben wir abge­schrieben, auch weil es gesetz­lich geboten war. Ein Unter­schied findet sich bei der Höhe der Bußgelder, die verhängt werden dürfen. […] Beim Rest geht es vor allem auch um kirchen­spe­zi­fi­sche Detail­re­ge­lungen, etwa Rege­lungen zu Video­auf­zeich­nungen im Gottes­dienst oder zum Beicht- und Seel­sor­ge­ge­heimnis.”

Michael Jacob im Interview mit evangelisch.de

Als recht­li­cher Sonder­raum gelten innerhalb der EKD so auch einige weiter­ge­hende Rege­lungen – zeit­gleich gibt es in den Top-Down-Struk­turen auch viele hilf­reiche Infor­ma­ti­ons­quellen und Vorlagen.

Bären­dienst & Unter­stüt­zung: Was die kirch­li­chen Sonder­wege bedeuten

Als würde die EU-DSGVO nicht schon genug Verwir­rung stiften, sorgen auch die kirch­li­chen Sonder­wege nicht gerade dafür, dass sich der Nebel lichtet.

Gleich­zeitig klärt sich die Lage für den Großteil der Betrof­fenen: für die klas­si­sche Orts­ge­meinde gilt das Rechts­werk der jewei­ligen Kirche. Und hier sind nun auch mögliche Strafen einge­grenzt sowie Über­gangs­fristen geschaffen. Zudem gibt es oftmals eine spezia­li­sierte Bera­tungs­struktur (wie leis­tungs­fähig diese im Vergleich zum freien Markt ist, ist eine andere Frage…).

Doch etliche Fragen werden erst durch die Sonder­wege aufge­worfen: welchen Richt­li­nien unter­liegt ein selbst­stän­diger Förder­verein – DSGVO oder kirch­li­chem Recht? Und wenn er ökume­nisch ist – welchem beider kirch­li­cher Rege­lungen?

Welches Geset­zes­werk betrifft eine kirchen­nahe (g)GmbH – erst recht, wenn die Kirche kein Gesell­schafter sein sollte?

Und was, wenn ein inter­na­tio­naler Anbieter (wie bspw. WordPress oder Microsoft) sich zwar der DSVGO unter­wirft, nicht jedoch explizit dem DSG-EKD oder KDG?

So sehr das kirch­liche Daten­schutz­recht auch schützend vor die Gemeinden tritt: es gestaltet vieles kompli­zierter und wirft für die Praxis-Arbeit zudem einige weitere Fragen auf. Erst recht bei kirchen­nahen Insti­tu­tionen und Non-Profits.

Deswegen ein prag­ma­ti­scher (nicht juris­ti­scher!) Rat: befolgen Sie im Zwei­fels­fall die DSGVO und nehmen Sie deren Erfor­der­nisse in den Blick. Damit bedienen Sie bereits einen Großteil des kirch­li­chen Daten­schutz­rechts – welches Sie viel­leicht ohnehin schützt vor den Strafen der EU-DSGVO. Klären Sie dies in einem zweiten Schritt ab – und wenden Sie sich nach dem Verur­sa­cher­prinzip an die, die Sie in diese unklare Lage gebracht haben: die jewei­ligen kirch­li­chen Ämter.

DSGVO-Check­liste: Was Sie als Gemeinde oder Non-Profit jetzt tun können

Soweit die Theorie. Doch was können Gemeinden und Non-Profits tun, um auf der sicheren Seite zu stehen?

Eine Check­liste für die Praxis:

  • Benennen Sie eine/n Datenschutzbeauftragte/n. Werden Daten bei Ihnen auto­ma­ti­siert verar­beitet (bspw. bei der Anmeldung zu einem News­letter), ist ein Daten­schutz­be­auf­tragter Pflicht. Es sei denn, es haben nur neun oder weniger Menschen Umgang mit der Daten­ver­ar­bei­tung. Dann ist lediglich der/die Geschäfts­füh­rende für den Daten­schutz zuständig und somit haftbar.
  • Klären Sie Ihre internen Daten­pro­zesse und die jewei­ligen Verant­wort­lich­keiten. Klären Sie, in welcher Form bei Ihnen Daten erhoben, verar­beitet und gespei­chert werden. Wie viele Personen haben Zugang zu welchen Infor­ma­tionen? Doku­men­tieren Sie Ihre Erkennt­nisse!
  • Stellen Sie sicher, dass Ihre Daten­schutz­er­klä­rung auf dem neuesten Stand ist. (Links dazu finden Sie am Ende dieses Artikels – sowie eine EU-Grafik unterhalb dieser Liste)
  • Klären Sie, ob Sie ausrei­chende Einwil­li­gungen von bestehenden Kontakten besitzen. Sie müssen spezi­fi­sche Zustim­mungen für jeden Kontakt besitzen, den Sie aufnehmen wollen. Deshalb ist es sinnvoll, abzu­klären, für welche Art der Kommu­ni­ka­tion Sie Einwil­li­gungen vorliegen haben. Falls diese Einwil­li­gungs-Erklärung unspe­zi­fisch, nicht doku­men­tiert oder älter als 24 Monate ist, müssen Sie  sie wieder einholen. Und zwar via Opt-In-Verfahren. Wirklich sicher sind Sie jedoch mit Double-Opt-In.
  • Verfassen Sie DSVGO-konforme Einwil­li­gungs-Erklä­rungen für neue Kontakte. Geben Sie klar und spezi­fisch an, welche Daten Sie zu welchem Zweck sammeln werden. Und wann Sie diese löschen.
  • Stellen Sie sicher, dass Sie mit jedem “Auftrags­ver­ar­beiter” einen Vertrag zur Daten­ver­ar­bei­tung abge­schlossen haben. Dies kann zum Beispiel Ihr News­letter-Anbieter sein, oder Ihre Analytics-Software, welche die Homepage-Besuche für Sie auswertet. (Häufig wurde dies durch die Aktua­li­sie­rung der AGBs von den großen Anbietern bereits vollzogen)
  • Verschlüs­seln Sie Ihre Webseite, wenn dort ein Kontakt­for­mular existiert. Ein https-Zerti­fikat gibt es auch schon kostenlos – bspw. von der Let’s Encrypt Allianz. Sie wissen nicht, wie dies geht? Kontak­tieren Sie uns einfach – wir unter­stützen Sie gerne bei der Umsetzung!
  • Holen Sie sich Hilfe “von oben”. Häufig bieten die über­ge­ord­neten Struk­turen (vor allem in den Kirchen) bereits Mate­ria­lien und Experten an, die Ihnen bei der Umsetzung des neuen Daten­schutz-Rechts helfen können. Eine kleine Liste finden Sie unten angefügt.
Aufzeichnungen EU-DSGVO
Was müssen Sie ausweisen und aufzeichnen? (Quelle: EU/Screenshot)

 

Doch das Wich­tigste: Don’t Panic! Durch Über­gangs­fristen, die allge­meine Verun­si­che­rung sowie manche Vorgänge, die nur auf Verlangen umzu­setzen sind, droht erstmal kein Unheil am Morgen des 25. Mai.

Selbst sollten Sie weiterhin gegen die Richt­li­nien verstoßen, droht nicht sofort das maximale Bußgeld, sondern erst einmal Schritte, die nicht sofort an die Geldbörse gehen. (Dies ist den offi­zi­ellen Stellen auch wichtig zu betonen in der aktuellen Hysterie um mögliche Strafen und Abmahn’-Anwälte).

DSGVO Strafen Maßnahmen Bußgelder Abmahnungen
Die Stei­ge­rung der Maßnahmen bei Verstoß gegen die DSVGO (Screen­shot| Quelle: EU)

Erste Hilfe: diese Links helfen Ihnen weiter

Helfen Sie uns und anderen:
Haben Sie weitere Links — teilen Sie diese mit uns in den Kommen­taren!

Ein Gedanke zu „DSGVO: So sind Gemeinden & Non-Profits auf der sicheren Seite

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*