Datenschutz 2018 in der kirchlichen evangelischen Jugendarbeit

Das Wichtigste nach DSG-EKD

Am 24. Mai ist die europäische Datenschutzgrundverordnung (DS-GVO) und das für uns primär geltende kirchliche Datenschutzgesetz (DSG-EKD) in Kraft getreten.

 

Der kirchliche Datenschutzbeauftragte Michael Jacob hat hierzu unter https://datenschutz.ekd.de Materialien ins Internet gestellt, wobei v. a. auf die „Kurzpapiere“ hinzuweisen ist: https://datenschutz.ekd.de/infothek-items/kurzpapiere-zum-neuen-ekd-datenschutzgesetz-dsg-ekd/

Der Text des neuen DSG-EKD findet sich hier: https://www.kirchenrecht-ekd.de/document/39740/search/DSG-EKD

 

 

Trotz dieser und zahlloser anderer Internetveröffentlichungen – oder gerade deswegen – sind viele Verantwortliche in der Jugendarbeit verunsichert: Was muss ich nun tatsächlich beachten, was ändert sich ganz praktisch? Und was ändert sich nicht?

Ohne Anspruch auf Richtigkeit und Vollständigkeit möchten wir daher an dieser Stelle das aus unserer Sicht Wichtigste zusammenfassen und kurz erläutern:

 

Um was geht es beim Datenschutz?

Wie schon bisher geht es weiterhin um den Schutz personenbezogener Daten. Darunter versteht der Gesetzgeber beispielsweise den Namen, das Alter oder die Anschrift eines Menschen (einer „natürlichen Person“). Aber auch die physischen Merkmale (das „Aussehen“) eines Menschen, sein Umfeld und sein Aufenthaltsort sind personenbezogene Daten, was bedeutet, dass bei fast jeder Fotoaufnahme eines Menschen persönliche Daten verarbeitet werden. In Zeiten digitaler Fotografie werden nicht nur die optischen Bilddaten gespeichert, sondern oft auch die Zeit der Aufnahme oder sogar der Ort. Dies lässt u. U. erhebliche Rückschlüsse auf die Person zu.

 

Also Regel Nummer 1

Größte Sensibilität beim Fotografieren, Speichern und Veröffentlichen von Fotos!

Selbst im privaten Bereich, umso mehr im öffentlichen der Jugendarbeit sollte – schon aus Gründen des Persönlichkeitsschutzes – nicht wild fotografiert werden, sondern es muss zunächst gefragt werden: Darf ich dich – hier und jetzt und so – fotografieren? Sodann sollte das Bild zumindest auf dem Display (noch besser auf einem Bildschirm oder einem guten Ausdruck) dem Fotografierten gezeigt und gefragt werden: Darf das Foto gespeichert werden bzw. bleiben oder muss ich es löschen? Sofern das Bild veröffentlicht werden soll, ist hierfür eine umfangreiche Einwilligungserklärung notwendig, für die der Fotograf bzw. die Fotografin im besten Fall bereits ein Formblatt dabeihat. Durch Unterschrift muss der bzw. die Betroffene bestätigen, unter welchen Bedingungen er oder sie mit einer Veröffentlichung einverstanden ist, hierzu gehört das Einverständnis zum Ort der Veröffentlichung (z. B. Homepage), der Verwendungszweck und die Verwendungsdauer (ggf. auch die Vergütungsfrage).

Kinder und Jugendliche werden durch ihre Sorgeberechtigten bei der Einwilligung vertreten, wobei auch Minderjährige „einwilligungsfähig“ sein können, wenn man klare Anhaltspunkte dafür hat, dass der oder die Minderjährige sich der Tragweite der Einwilligung bewusst ist.  

Exkurs: Wenn es sich im kirchlichen Bereich um sogenannte „elektronische Angebote“ (also Angebote kirchlicher Stellen auf elektronischem Weg) handelt, gelten Sie gemäß § 12 DSG-EKD bereits mit Erreichen der Religionsmündigkeit, also bereits ab 14, als einwilligungsfähig.

 

Die meisten Fotos werden im Rahmen der Jugendarbeit in den Internetauftritten der Veranstalter veröffentlicht. Auch unsere Websites sind also ein Instrument, mit dem datenschutzmäßig sensibel umgegangen werden muss, darum

 

Regel Nummer 2: Homepages prüfen

Neben der Bildveröffentlichung werden in Homepages oft Daten abgefragt, zum Beispiel im Rahmen von Kontakt- oder Anmeldeformularen. Dies darf nicht mehr ohne ein Verschlüsselungsverfahren, das dem Stand der Technik entspricht, passieren, vgl. § 27 Abs. 1 Ziff. 1 DSG-EKD.

Wer Google Analytics (oder ein ähnliches Verfahren) einsetzt, ermittelt Daten der Nutzer, ohne dass dies ihnen immer bewusst ist. Deshalb sollte beim Aufruf der Website sofort ein Hinweis erscheinen, dass Cookies gesetzt werden und warum dies geschieht. Der Nutzer muss der Verwendung dieser Cookies durch Klick zustimmen oder widersprechen können.

Bereits hier sollte auch der Link zur eigenen Datenschutzerklärung (besser: zum Datenschutzhinweis) genannt werden. Dieser Datenschutzhinweis bedarf einer eigenen Seite auf der Homepage und muss unter anderem alle Online-Dienste benennen, die automatisch oder freiwillig genutzt oder zur Verfügung gestellt werden (z. B. die genannten Cookies, Kontakt- und Anmeldeformulare, Newsletter, Social-Media-Buttons u. ä.). Vgl. § 16 DSG-EKD.

Auch bei der Anmeldung beispielsweise zu einer Freizeit muss diese Datenschutzerklärung dem Betroffenen zugänglich gemacht werden, weshalb sie einen Passus enthalten muss, wonach die erhobenen Daten nur intern für Zwecke der Anmeldung und der Teilnahme verwendet werden.

 

Unbedingt muss – ebenfalls separat - ein Impressum, die sogenannte Anbieterkennzeichnung enthalten sein (vgl. § 5 Abs. 1 Telemediengesetz TMG).

 

Und was auch ganz wichtig ist: Da die Veröffentlichung von persönlichen Daten auf der Homepage (ohne Passwortschutz oder ausdrückliche Einwilligung) natürlich auch nicht zulässig ist (und noch nie war), müssen alle personenbezogenen Daten (soweit es sich nicht um dienstliche Kontaktdaten handelt) entweder zeitnah entfernt oder passwortgeschützt werden oder es muss eine ausdrückliche, schriftliche, unmissverständliche, widerrufliche Einwilligung zur Datenveröffentlichung eingeholt werden. Hierbei muss die vorformulierte Einwilligungserklärung verständlich, klar und einfach sein (v. a., wenn sie, was wie oben erläutert zulässig ist, von Jugendlichen ab 14 Jahren erteilt werden kann). Vgl. § 4 Ziff. 13 DSG-EKD.

 

Die sogenannten Sozialen Medien wurden bereits erwähnt. So unentbehrlich sie der Jugendarbeit scheinen, so katastrophal sind sie unter Datenschutzaspekten. Die jüngsten Reformen in der Facebook-Welt sind hier nur ein Tropfen auf dem heißen Stein, deshalb

 

Regel Nummer 3: Facebook, Instagram, Snapchat, WhatsApp & Co meiden oder zurückhaltend einsetzen

Rein datenschutzrechtlich ist der zweite Teil dieser Regel eigentlich nicht folgerichtig, muss aber dennoch ins Auge gefasst werden, da die Macht des Faktischen überwältigend scheint. Kaum ein Jugendreferent oder eine Jugendreferentin, die trotz unserer Warnungen (vgl. "Datenschutz in der Jugendarbeit und Messengerdienste" nicht whatsappen, weil dies eben zur Lebenswirklichkeit der Jugendlichen gehört.

Dennoch sollte hier wenigstens ein geordneter Rückzug stattfinden. Früher oder später wird sich dies auch im Alltag durchsetzen (müssen), weshalb wir hier mit gutem Vorbild vorangehen sollten. Ein erster Schritt wäre, zumindest konsequent auf den Austausch persönlicher und sensibler Daten in Sozialen Netzwerken zu verzichten, sondern lediglich allgemeine und solche Infos auszutauschen, die persönlichkeitsrechtlich unverfänglich sind.

Gleichzeitig sollte – insbesondere bei WhatsApp – auf die Risiken hingewiesen werden, insbesondere darauf, dass man mit der Nutzung des Messengers auf seinem Smartphone WhatsApp automatisch Zugriff auf sein Adressbuch gewährt, also nicht nur die eigene, sondern alle gespeicherten Telefonnummern freigibt, selbst wenn die Nummerninhaber selbst keine WhatsApp-Nutzer sind.

 

Viele der Tools, die man auf seiner Webpage einsetzt, werden von externen Firmen verwaltet und bearbeitet, also beispielsweise das genannte Google Analytics oder Versandanbieter für Newsletter. Da auch diese somit „im Auftrag“ persönliche Daten erhalten und verarbeiten, sollte geprüft werden, ob mit diesen eine wirksame Vereinbarung vorliegt, also

 

Regel Nummer 4: Auftragsverarbeiter-Vereinbarung prüfen

Das ist nicht direkt neu, sondern hieß bislang nur etwas anders, früher sprach das Gesetz von der „Auftragsdatenverarbeitung“. D. h., praktisch müsssen Sie vermutlich nur den Begriff in Ihren Vereinbarungen (soweit vorhanden) ändern, ggf. noch die event. zitierte Norm. 

Auftragsverarbeitung bedeutet schlicht, dass ein Dritter (Auftragnehmer) als Dienstleister für Sie personenbezogene Daten erhebt, verarbeitet oder nutzt. Häufige Anwendungsfälle sind zum Beispiel Newsletter-Online-Dienste, Cloud-Speicher-Dienste oder auch eine outgesourcte Buchhaltung, Aktenvernichtung oder Druck-Dienste.

 

Neu ist v. a., dass eine solche Auftragsverarbeitung zukünftig auch außerhalb der EU stattfinden kann, also unabhängig von dem Ort der Verarbeitung (vgl. § 10 Abs. 1 DSG-EKD). Bislang hatte das DSG-EKD (wie auch das BDSG) dies aufs EU-Inland beschränkt (§ 11 Abs. 1 S. 1 DSG-EKD-alt).

 

 

In Verbänden, Vereinen und Kirchengemeinden mit einer großen Jugendarbeit sind oft viele Menschen mit der Datenverarbeitung betraut, da jeder Jungscharleiter und jede Mädchenkreisleiterin Teilnehmerlisten führt und oft – leider – auch online persönliche Daten der Teilnehmenden austauscht. Hier gilt unter Umständen

 

Regel Nummer 5: Örtlichen (verbandlichen) Beauftragten für den Datenschutz bestellen!

 

Dies gilt, sobald mindestens 10 Personen im Verein, Verband oder der Kirchengemeinde mit der Datenverarbeitung betraut sind (vgl. § 36 Abs. 1 Ziff. 1 DSG-EKD). Wer also aufgrund der Mitarbeiterzahl in einem kritischen Bereich ist, sollte entweder prüfen, ob ein solcher örtlicher Beauftragter installiert werden muss oder ob es gelingt, durch die interne Organisation die Zahl der Datenverarbeiter verlässlich unter 10 Personen zu halten. 

Es besteht übrigens die Möglichkeit, eine externe Person zu beauftragen, dies muss nicht zwingend ein/e eigene/r Mitarbeitende/r sein. Wichtig ist jedenfalls die Benennung einer fachlich qualifizierten und zuverlässigen Person, wobei diese möglichst nicht gleichzeitig die Leitung der kirchlichen Stelle oder deren IT innehaben soll (§ 36 Abs. 4 DSG-EKD).

 

Will der Verein, Verband oder die Kirchengemeinde personenbezogene Daten direkt bei der betroffenen Person oder bei einem Dritten abfragen, so treffen ihn umfangreiche Informationspflichten, die in § 17 DSG-EKD (vgl. Art. 13 DS-GVO) aufgelistet sind (bitte nachlesen). 

 

Zuletzt sei an die – auch nicht ganz neue –

Regel Nummer 6: Datensparsamkeit

erinnert, die § 5 Abs. 1 Ziff. 3 DSG-EKD jetzt als „Datenminimierung“ bezeichnet wird.

Personenbezogene Daten sollten wirklich nur dann erhoben, gespeichert und weiterverarbeitet werden, wenn sie tatsächlich notwendig sind, sei es zur Durchführung einer Freizeit oder zur Meldung an eine Behörde oder sonst zur Erreichung der jeweils bekannten und anerkannten Zwecke. 

Und Daten, die definitiv nicht mehr benötigt werden, müssen zeitnah (unverzüglich) gelöscht werden (vgl. §§ 5 Abs. 1 Ziff. 3 und 21 Abs. 1 Ziff. 2 DSG-EKD).

 

 

Häufige Fragen und Missverständnisse

Verantwortlicher, also Adressat der Datenschutzvorgaben, ist nicht direkt die auf der Arbeitsebene zuständige Person, sondern die Person(en) der Leitungsebene, also beispielsweise die Geschäftsführung des Jugendwerks oder der Vorstand des Vereins – nicht der oder die IT-Beauftragte! Letzteren kann die Aufgabe selbstverständlich delegiert werden, aber nach außen hin ist die Leitung in der Verantwortung. vgl. § 4 Ziff. 9 DSG-EKD.

 

Führen eines Verzeichnisses von Verarbeitungstätigkeiten (§ 31 DSG-EKD)

Hier geht es um die Dokumentation und eine übersichtliche Darstellung aller Verfahren, bei denen personenbezogene Daten verarbeitet werden. Früher war dies als „Verfahrensverzeichnis“ bekannt. Vereine, Verbände und Kirchengemeinden müssen also beispielsweise eine Liste führen, in der entsprechend der Vorgaben von Art. 31 DSG-EKD Dinge wie Mitgliederverwaltung oder Beitragsverwaltung so aufgeschlüsselt sind, dass die oder der Verantwortliche genannt ist, die Zwecke der Verarbeitung, die Löschfristen, die Kategorie der betroffenen Person usw. (bitte nachlesen!)

Grundsätzlich gilt diese Pflicht zwar erst ab einer Beschäftigtenzahl von 250 Personen, ausnahmsweise jedoch auch, wenn solche Verarbeitungstätigkeiten sog „besondere Kategorien personenbezogener Daten“ einschließen (§ 31 Abs. 5 S. 2 DSG-EKD). Was das für Daten sind, definiert § 4 Ziff. 2 DSG-EKD: Es handelt sich um besonders sensible Daten bezüglich Weltanschauung, Herkunft, politische Einstellung und der körperlichen Merkmale. Zu diesen gehören auch die Gesundheitsdaten, die oft (sinnvollerweise) im Rahmen einer Freizeitanmeldung abgefragt werden. Da dies bei den meisten kirchlichen Jugendveranstaltern der Fall sein wird, ist nach unserem Dafürhalten auf jeden Fall ein solches Verzeichnis zu erstellen, sofern die Zulässigkeit der Verarbeitung gemäß § 13 Abs. 2 DSG-EKD gegeben ist. In der Regel wird also eine ausdrückliche Einwilligung entsprechend der o. g. Grundsätze notwendig sein.

 

Datenschutz-Folgenabschätzung

Eine Datenschutz-Folgenabschätzung gemäß § 34 DSG-EKD ist eine schlichte Risikoabschätzung, die vor dem Einsatz neuer Technologien und datenverarbeitenden Anwendungen sicherstellen soll, dass das Recht auf Datenschutz und die Freiheitsrechte der Betroffenen gewährleistet bleiben. Lesen Sie hierzu bitet das Kurzpapier 4 des EKD-Datenschutzbeauftragten.

 

Newsletterversand

Durch die aufgrund der durch die DS-GVO geänderten Regelungen ändert sich für die Vorgaben zum Versand von Newslettern und Werbemails nichts, denn diese sind wettbewerbsrechtlich geregelt (§ 7 UWG), wo sich nichts geändert hat. 

Nach wie vor gilt, dass die einzige rechtssichere Möglichkeit das sog. Double-Opt-In-Verfahren ist: Der Versender muss im ersten Schritt ein Opt-In, also eine ausdrückliche Einwilligung des Nutzers, erlangen. D. h., Interessierte müssen sich (z. B. auf der Homepage des Vereins) aktiv für den Newsletter anmelden und dies in einem zweiten Schritt, nachdem sie eine Registrierungsmail erhalten haben, nochmals („double“) bestätigen.

Europarechtlich findet sich diese Regelung in der ebenfalls unveränderten ePrivacy-Richtlinie.

Was sich aufgrund einer kurzfristigen Änderung des Art. 25 Abs. 2 Satz 1 DS-GVO aber vermutlich ändern wird: für den Newsletterversand benötigt der Versender lediglich die E-Mail-Adresse des Betroffenen, in der Anmeldemaske müssen also grundsätzlich weder Namen noch andere Daten des Interessierten abgefragt werden – sofern diese anderen Daten nicht zu anderen, ausdrücklich benannten Verarbeitungszwecken erhoben werden müssen.

Die entsprechende Norm im DSG-EKD (dort § 28 Abs. 2 S. 1) lässt noch Ausnahmen zu („grundsätzlich“) wird aber voraussichtlich der geänderten Vorgabe der DS-GVO angepasst werden.

 

Teilnehmerlisten an Mitreisende versenden, Geburtstagslisten aushängen

Auch diese Praxis war bereits vor der Neuregelung unzulässig, solange keine ausdrückliche Einwilligung vorlag.


Spenden

Evangelisches Jugendwerk in Württemberg
Haeberlinstraße 1-3
70563 Stuttgart
Fon 07 11/97 81-0


Zur Anfahrtsbeschreibung

Montag-Donnerstag:
9:00-12:30 Uhr / 13:15-16:00 Uhr
Freitag:
9:00-12:30 Uhr


Kontaktieren Sie uns gerne auch direkt:

Ansprechpartner

Arbeitsbereiche


Sie finden uns auch auf folgenden Plattformen

Wir unterstützen das EJW

Das Evangelische Jugendwerk in Württemberg (EJW) bietet als Landesstelle sinnstiftende Angebote, Veranstaltungen und Dienstleistungen für Jugendwerke in Orten und Bezirken, aber auch für Kinder, Jugendliche, Konfirmanden, junge Erwachsene, Erwachsene und Familien. Das Evangelische Jugendwerk in Württemberg (EJW) ist die Zentrale für die evangelische Jugendarbeit in Württemberg und arbeitet selbstständig im Auftrag der Evangelischen Landeskirche in Württemberg.


Das Evangelische Jugendwerk Württemberg (EJW) gehört zu: