Datenschutz: Keine Insellösungen für die Öffentlichkeitsarbeit

EKD-DSG-36165537976_a475a50782_oDie Uhr tickt, das neue EKD-Datenschutzgesetz kommt auf einmal ganz plötzlich. Es ist fast so wie bei Weihnachten, das ganz unerwartet am 24. Dezember auf einmal da ist, und man besorgt die letzten Geschenke am Vormittag des Heiligabends. In Bezug auf Datenschutz reden wir nicht über Dezember, sondern Mai. Zum 24.5.2018 tritt das neue EKD-Datenschutzgesetz in Kraft, am Folgetag dann die EU-Datenschutzgrundverordnung. Im November hatte die EKD-Synode das DSG-EKD 2018 beschlossen, um das kirchliche Recht der dann EU-weit geltenden Datenschutzgrundverordnung anzupassen. Man kann trefflich (durchaus auch theologisch) streiten, ob es ein eigenes kirchliches Datenschutzrecht – die Kirche muss ja nicht alle Privilegien nutzen, die das Grundgesetz ihr einräumt – braucht oder ob nicht besser in diesem Bereich staatliches Recht hätte übernommen werden sollen. Aber Gesetz ist nun mal Gesetz und daher einzuhalten, sonst droht ab dem 24. Mai nach Kirchenrecht ein Bußgeld, das bis zu einer halben Million Euro betragen kann.

Das neue Gesetz bringt Veränderungen für die Arbeit in Kirchengemeinden, Kirchenkreisen und Einrichtungen mit sich. Im Bereich der kirchlichen Verwaltung werden Vorbereitungen für die neue Rechtslage getroffen, Unsicherheiten im Umgang mit dem neuen Datenschutzrecht gibt es vor allem im Bereich der Öffentlichkeitsarbeit. Gerade in Bezug auf Datenschutzerklärungen für Websites versuchen zurzeit unseriöse Anbieter, diese Unsicherheit auszunutzen und mit überteuerten Angebote zur Überarbeitung Profit zu machen.

Regelungen aus der kirchlichen Verwaltung übernehmen

Im neuen EKD-Datenschutzgesetz nimmt unmittelbar auf die Medien nur Paragraf 51 Bezug („Verarbeitung personenbezogener Daten durch die Medien“), der aber keine Veränderung gegenüber dem bisherigen Recht darstellt. Um für die Öffentlichkeitsarbeit Insellösungen zu vermeiden, sollten Verfahren aus der Verwaltung der Gemeinden oder des Kirchenkreises wenn möglich übernommen werden. Dies gilt beispielsweise für Regelungen, wie nicht mehr benötigte personenbezogene Daten gelöscht werden, wie man Informationspflichten nachkommen kann und bei der Umsetzung für IT-Sicherheit. Also: am besten setzen sich die Verantwortlichen für Öffentlichkeitsarbeit mit ihrer Verwaltung zusammen, um zu vereinbaren, wie solche Regelungen übernommen werden können.

Datenschutzerklärung für die eigene Website

Spezifischen Handlungsbedarf sehe ich in Bezug auf die Öffentlichkeitsarbeit bei folgenden Punkten. Die Datenschutzerklärung auf der eigenen Website ist an die neue Rechtslage zupassen. Dabei ist sicherzustellen, dass die Datenschutzerklärung auch technisch die Datenverarbeitung – z. B. in Bezug auf Cookies und Statistiktools – richtig angibt. Am besten orientieren sich Gemeinden dabei an den Vorlagen der Landeskirche (für die rheinische Kirche werden wir diese zeitnah im Intranet als Vorlage bereitstellen).

Newsletter als Auftragsdatenverarbeitung

Zum Newsletterversand werden in der Regel externe Dienstleister genutzt, die den Versand in Auftragsdatenverarbeitung durchführen. Bestehende Verträge sind daher auch auf die neue Rechtslage umzustellen. Grundsätzlich bedarf die Verarbeitung personenbezogener Daten der Einwilligung. Neu ist nun die explizite Regelung (§12), dass bei elektronischen Angeboten nur religionsmündige Jugendliche die Einwilligung erteilen können, also: kein Newsletterversand an Jugendliche unter 14 ohne Zustimmung der Sorgeberechtigten. E-Mail ist als Kommunikationsmittel bei dieser Altersgruppe allerdings sowieso zu vernachlässigen, aber will eine Gemeinde beispielsweise Messengerdienste anbieten, greift diese Regelung auch in der Praxis.

Datensparsamkeit ist bester Datenschutz

Die EU-Datenschutzgrundverordnung macht Datensparsamkeit zum Prinzip. Also sollten nur Daten erhoben werden, die wirklich notwendig sind. Wer einen ­E-Mail-Newsletter anbietet, benötigt keine Postanschrift der Abonnentinnen und Abonnenten. Entfällt der Zweck, beispielsweiseweil weil ein Newsletter eingestellt wird, sind die entsprechenden Daten – hier der Newsletterverteiler – zu löschen.

Andachtsstreaming explizit erlaubt

Erfreulich ist, dass nun in Bezug auf Übertragung und Aufzeichnung von Gottesdiensten und anderen kirchlichen Veranstaltungen eine rechtliche Klarstellung erfolgt (§ 53): Diese sind zulässig, „wenn die Teilnehmenden durch geeignete Maßnahmen über Art und Umfang der Aufzeichnung oder Übertragung informiert werden.“ Gegen Live-Streaming eines Gottesdienstes auf YouTube können keine datenschutzrechtlichen Argumente mehr vorgebracht werden.


Nachtrag 18.5.2018: hier ein aktuellerer Blogpost zum Thema

Autor:in


5 Antworten zu “Datenschutz: Keine Insellösungen für die Öffentlichkeitsarbeit”

  1. Ich würde jetzt sagen: Glück gehabt, wenn es bei euch da ordentliche Regelungen in der Verwaltung gibt. Das fehlt hier in Sachsen leider… Wie geht ihr diesbezüglich mit den (gemeindlichen) Prozessen um? Wir haben hier oft 5 Mitarbeiter, die irgendwas mit Kindern/Jugendlichen/Eltern zu tun haben, verteilt auf 4 Orte. Natürlich löscht da jeder alles, was er nicht mehr braucht, aber eine zentrale Erfassung gibts nicht (die müsste ja wieder online sein, speziell gesichert usw.), und dann müsste man ja theoretisch noch steuern wer auf die Daten zugreifen darf (z.B. wenn ein Kind konfirmiert ist darf der Pfarrer nicht mehr zugreifen, nur noch der Jugendleiter, …?!? )…
    Ergänzen würde ich aber noch 2 grundsätzliche Aspekte:
    – Auftragsdatenverarbeitung gilt z.B. auch für Hosting (weil der Provider die IPs speichert – die sind in Deutschland gerichtlich als personenbezogene Daten festgelegt)
    – Anpassung von Formularen (online+Papier): Immer ausdrücklich aufnehmen, dass man der elektronischen Speicherung zustimmt. Ich bin mir nicht ganz sicher ob das auch in \“unserem\“ Datenschutzrecht enthalten ist, in jedem Fall wird das für die Wahrnehmung extrem wichtig sein das es in der DSGVO enthalten ist.

    • Danke für die Anmerkungen / Hinweise. Natürlich ist es sinnvoll, sich die Einwilligung einzuholen. Zum Webhosting: Wir setzen Piwik / Matomo ein und speichern keine personenbezogenen Daten in den Logfiles. Sofern in Formularen eine personenbezogenen Daten erhoben werden oder man keine Formulare einsetzt, benötigt man ADV, sonst natürlich schon.

  2. Lieber Ralf Peter,
    wenn ihr eure Vorlage nicht nur im Intranet veröffentlichen würdet, sondern auch anderen Interessierten zur Verfügung stellen könntet, würde möglicherweise doppelte Arbeit gespart.
    “(für die rheinische Kirche werden wir diese zeitnah im Intranet als Vorlage bereitstellen)”.
    Du weißt doch, sharing und so 😉
    Liebe Grüße aus Mainz

  3. Weihnachten kommt so plötzlich – es ist Mitte April und die Portalseite der EKiR ist immer noch nicht verfügbar, bzw. „im Aufbau“
    Die Seiten werden häufig von Ehrenamtlichen betreut, die das Portal allenfalls kennen, aber sich der Mühe der Anmeldung nicht unterziehen.
    Ist die Datenschutzerklärung so schützenswert, dass sie nicht einfach auf die normale EKiR-Seite kann?
    Seit zwei Jahren höre ich, dass die Landeskirche uns vor Ort bei dem Thema unterstützen will, bis hin zu einem Rahmenvertrag… leider Fehlanzeige

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.