Datenschutz: Was muss ich beachten?
Kein Foto ohne Unterschrift
Die neue europäische Datenschutz-Grundverordnung (DSGVO) und das Katholische Datenschutzgesetz (KDG) sind zum Schutz der Menschen da, doch viele sind verunsichert. Thomas Mollen leitet im Bistum Münster die Abteilung Digitale und Interne Kommunikation. Er beantwortet 13 wichtige Fragen und Antworten zum Datenschutz.
Was sind DSGVO und KDG und warum soll ich mich überhaupt damit befassen?
Die EU-Datenschutz-Grundverordnung (DSGVO) will vor dem Missbrauch von Daten schützen. Sie gilt bereits seit Mai 2016 und ist am 25. Mai 2018 endgültig und unmittelbar in Kraft getreten. Das Katholische Datenschutzgesetz (KDG) trat bereits einen Tag früher in Kraft.
Für wen gilt es?
Für Bistümer, Kirchengemeinden, kirchliche Stiftungen, Einrichtungen und Verbände. Es ersetzt die Kirchliche Datenschutzordnung (KDO) von 2015. Weitere rechtliche Verordnungen in Bezug auf den kirchlichen Datenschutz bleiben zunächst bestehen, solange sie den Regelungen des KDG nicht widersprechen. Wer mit „personenbezogenen Daten“ zu tun hat, sollte sich mit dem Datenschutz zumindest grundlegend auskennen.
Wen betrifft das?
Alle, die eine Website betreiben, einen Social-Media-Kanal haben oder für die Kirchengemeinde Fotos von Aktivitäten schießen. Auch ein großer Teil der Arbeit im Pfarrbüro gehört dazu.
Was sind „personenbezogene Daten“?
Sämtliche Informationen, die sich auf eine bestimmte Person beziehen. Das können zum Beispiel der Name oder die Adresse sein, aber auch ein Porträtfoto.
Muss ich sofort tätig werden?
Viele Umsetzungsverpflichtungen, die sich aus den Datenschutzbestimmungen ergeben, sehen eine Übergangsfrist bis zum 30. Juni 2019 vor. Bei einigen Regelungen ist es aber jetzt schon wichtig, dass sie beachtet werden. Das gilt insbesondere für die Betreiber von Webseiten.
Was muss ich als Webmaster jetzt beachten?
Schon bisher benötigten Websites ein Impressum und eine separate Datenschutzerklärung. Das regelt das Telemediengesetz. Nach Inkrafttreten der DSGVO muss die Datenschutzerklärung nunmehr noch genauer aufführen, welche Daten auf der Website erhoben werden und welche Rechte die Nutzer in Bezug auf die Verarbeitung ihrer Daten haben. Bei der Erstellung einer Datenschutzerklärung gibt es Hilfe im Internet durch aktuelle Generatoren, die aus Textbausteinen eine individuell angepasste Erklärung zusammensetzen.
Was gehört noch in die Erklärung?
Die Information, dass der Nutzer ein Recht auf Auskunft, Widerspruch oder auf Löschung und Sperrung seiner Daten hat. Was die Datenschutzerklärung alles beinhalten muss, hängt davon ab, wie die jeweilige Seite aufgebaut ist und welche Daten konkret erhoben werden. Deswegen gibt es keine Mustertexte für eine solche Erklärung.
Unser Webseiten-Provider hat uns einen „Auftragsdatenverarbeitungs-Vertrag“ zugeschickt. Müssen wir den unterschreiben?
Ja, das Gesetz sieht vor, dass immer dann, wenn ein Dienstleister für einen Auftraggeber personenbezogene Daten verarbeitet, so eine Vereinbarung zu schließen ist.
Darf ich Namen von Täuflingen, Kommunionkindern, Hochzeitspaaren und Messintentionen im Gemeindebrief veröffentlichen?
Ja, aber nur in der gedruckten Fassung. Sobald der Gemeindebrief auf der Webseite veröffentlicht, bei Facebook eingestellt oder an die Kirchenzeitung weitergegeben wird, benötigt man vorab das schriftliche Einverständnis der Betroffenen. Das war auch bislang bereits so.
Wie sieht es grundsätzlich mit dem Einsatz von Social Media aus?
Facebook, Twitter und andere Social-Media-Kanäle sind dabei, ihre Geschäftsbedingungen DSGVO-konform anzupassen. Da die Nutzer dieser Dienste den neuen Bedingungen zustimmen müssen, stehen Sie grundsätzlich auf der sicheren Seite, wenn Sie zum Beispiel eine Facebook-Seite betreiben. Wichtig ist, dass Sie Ihre Inhalte wie Fotos auf diesen Seiten datenschutzgerecht verwenden.
Gelten nun andere Regeln fürs Fotografieren als vorher?
Das kann man leider so pauschal noch nicht beantworten. Schon bislang benötigten Fotografen laut dem Kunsturhebergesetz die Zustimmung der aufgenommenen Personen, wenn sie die Fotos veröffentlichen wollten. Diese Zustimmung konnte aber auch mündlich oder durch entsprechendes Verhalten (zum Beispiel in Pose stellen, Nicken ...) erteilt werden. Die Datenschutzgrundverordnung geht davon aus, dass man in jedem Fall eine schriftliche Einwilligung benötigt. Es ist noch nicht abzusehen, ob die Rechtsprechung künftig die Kunstfreiheit oder den Datenschutz höher gewichten wird. Wer auf der sicheren Seite sein will, sollte sich vorab von allen abgebildeten Personen eine schriftliche Einverständniserklärung ausstellen lassen.
Wie sieht es bei Minderjährigen aus?
Bei Kindern und Jugendlichen bis 16 Jahren ist die Sachlage eindeutiger: Hier geht nichts ohne eine von den Eltern unterschriebene Einwilligung. Diese muss sich auf das beabsichtigte Bilderzeugnis und das zur Veröffentlichung angedachte Medium beziehen. Sie müssen also konkret angeben, wofür Sie die Einwilligung benötigen (zum Beispiel: „Wir wollen die Fotos auf der Website der Messdienergemeinschaft veröffentlichen“). Eine weit gefasste Formulierung („für die Öffentlichkeitsarbeit der Pfarrei“) reicht nicht aus. Die Einwilligung ist freiwillig und kann von den Betroffenen jederzeit widerrufen werden. Diese Hinweise auf Freiwilligkeit und Widerrufsrecht sollten auch auf dem Einwilligungsformular zu finden sein.
Muss ich in meiner Kirchengemeinde oder Einrichtung ein Datenschutzkonzept erstellen oder einen Datenschutzbeauftragten benennen?
Ja, prinzipiell ist das so: Alle kirchlichen Einrichtungen sind angehalten, ein Datenschutzkonzept zu entwickeln und müssen einen fachlich qualifizierten Datenschutzbeauftragten benennen. Allerdings muss das nicht direkt sein, und die Bistümer bieten hier für ihre Kirchengemeinden und Einrichtungen konkrete Dienstleistungen an.
Weitere Infos zum Datenschutz: www.datenschutz-kirche.de