Datenschutz in der Pfarrei

Warum ist der Aufwand bei der Umsetzung des Datenschutzes so hoch?

Das Gesetz über den Kirchlichen Datenschutz (kurz: KDG) gibt die umzusetzenden Punkte vor. Weitere Regelungen zum Datenschutz finden Sie in der Durchführungsverordnung zu diesem Gesetz (kurz: KDG-DVO).

Diese Regelungen sind teilweise sehr kompliziert und streng. Vielfach sind die Anforderungen umständlich und in der Praxis nur schwer umsetzbar.

Mit unseren Mustern, Arbeitshilfen, Schulungen und dem Datenschutz-Managementsystem DSN port privacy versuchen wir, den Aufwand für Sie so gering wie möglich zu halten.

Begriffe

Um Ihnen die Arbeit zu erleichtern, möchten wir Ihnen hier die wichtigsten Begriffe des Datenschutzrechts kurz erläutern:

Datenschutzbeauftragter: Der Datenschutzbeauftragte unterstützt die Pfarrei bei der Umsetzung der gesetzlichen Anforderungen. Er ist zur Verschwiegenheit verpflichtet und als Vertrauensperson zu verstehen.

Diözesandatenschutzbeauftragter (KDSA Nord): Der Diözesandatenschutzbeauftragte ist die Datenschutzaufsichtsbehörde. Diese überprüft ggf. auch in der Pfarrei vor Ort die Einhaltung der datenschutzrechtlichen Vorgaben. Die Ergebnisse seiner Prüfung fasst er in einem Bericht zusammen. Er kann Datenverarbeitungen beanstanden oder sogar ganz untersagen.

Personenbezogene Daten: Alle Daten, die man einer bestimmten Person zuordnen kann oder die eine Person näher beschreiben. Hierzu zählen beispielsweise Name, Anschrift, Geburtsdaten, IBAN, Kfz-Kennzeichen, Personalnummer.

Betroffene Person: Betroffene Personen sind die Menschen, deren Daten von der Pfarrei verarbeitet werden. Dies sind bei Pfarreien häufig die Daten ihrer Gemeindemitglieder. Der Mitarbeitende ist betroffene Person, wenn Daten aus seinem Beschäftigungsverhältnis verarbeitet werden. Der Täufling und dessen Sorgeberechtigte sind betroffene Personen, sofern ihre Daten anlässlich der Taufe verarbeitet werden.

Gesetz über den Kirchlichen Datenschutz (KDG): Die Katholische Kirche darf aufgrund des Selbstverwaltungsrechts den Datenschutz für sich selbst gesetzlich regeln. Für kirchliche Einrichtungen gilt daher nicht die Datenschutz-Grundverordnung (DSGVO), sondern das Kirchliche Datenschutzgesetz.

Datenschutz-Managementsystem | DSN port privacy: Aus dem KDG ergeben sich für die Pfarreien umfangreiche Dokumentationspflichten. Damit die Pfarreien diesen Pflichten nachkommen können, stellen wir Ihnen das Datenschutz-Managementsystem DSN port privacy zur Verfügung. Dort können diese Pflichtangaben übersichtlich abgebildet und bei Änderungen gemeinsam bearbeitet werden. Bei dieser Software handelt es sich um eine Eigenentwicklung unseres Unternehmens, die in deutschen Rechenzentren gehostet wird, die nach ISO 27001 zertifiziert sind. Weitere Informationen finden Sie in dem Abschnitt „Dokumentation der Datenverarbeitung“ 

Datenschutz-Information nach § 15 KDG: Werden die Daten von Menschen verarbeitet, so müssen die Betroffenen von der Pfarrei vor Beginn der Datenverarbeitung umfassend hierüber informiert werden. Die Information betrifft unter anderem Angaben zu welchem Zweck und auf welcher rechtlichen Grundlage die Daten verarbeitet werden, wie lange diese Daten von der Pfarrei gespeichert werden und ob Dritte Kenntnis von diesen Daten erlangen. Weitere Hinweise zu diesem Thema finden Sie in dem Abschnitt „Datenschutzinformation an betroffene Personen“.

Auftragsverarbeitung: Hierbei handelt es sich um Dienstleistungen, die Dritte (Unternehmen) für die Pfarrei übernehmen. Voraussetzung ist, dass diese Dienstleister mit Personendaten der Pfarrei in Berührung kommen (könnten). Hierunter fallen z. B. die Aktenvernichtung oder IT-Dienstleister der Pfarrei. Weitere Information hierzu sind im Abschnitt „Dienstleister der Pfarrei (Auftragsverarbeitung)“ verfügbar.

Hat die Pfarrei einen Datenschutzbeauftragten?

Für Ihre Pfarrei ist ein Datenschutzbeauftragter bestellt:

Herr Dr. Uwe Schläger
datenschutz nord GmbH
Konsul-Smidt-Straße 88
28217 Bremen

Sie erreichen ihn über die E-Mail-Adresse kirche@re-move-this.datenschutz-nord.de oder
die Telefonnummer +49 421 69 66 32-0.

Ihre Hauptansprechpartner sind jedoch die Juristinnen und Juristen aus dem Bereich „Kirchlicher Datenschutz“ der datenschutz nord GmbH.

Verpflichtung auf das Datengeheimnis

Es muss sichergestellt werden, dass alle Mitarbeitenden der Pfarrei ordnungsgemäß mit den der Pfarrei anvertrauten Daten umgehen. Insbesondere, dass diese Daten niemals unrechtmäßig verarbeitet oder unbefugten Dritten offenbart werden.

Daher besteht folgende Verpflichtung:

Jede Person, die für die Pfarrei tätig ist und die mit personenbezogenen Daten zu tun hat, ist bei Aufnahme ihrer Tätigkeit auf das Datengeheimnis und die Einhaltung der Datenschutzregelungen schriftlich zu verpflichten. 

Entsprechende Erklärungen müssen selbstverständlich alle haupt- und nebenamtlich für die Pfarrei Tätigen abgeben (einschließlich des pastoralen Personals) – diese Aufgabe übernimmt häufig das (Erz-)Bistum. 

Zu verpflichten sind von der Pfarrei aber auch ehrenamtlich Tätige, die bei ihrer Tätigkeit für die Pfarrei Personendaten nutzen (Bsp.: Betreuer von Reisen, die Daten der Reisenden erhalten; ehrenamtlich Tätige, die Geburtstagsbesuche durchführen bzw. den Pfarrbrief verteilen und hierfür Adresslisten erhalten).

Die Verpflichtung erfolgt in zwei Schritten:

Schritt 1: Belehrung

Zunächst sind diese Personen mit den für ihre Tätigkeit geltenden Datenschutzvorschriften, den damit verbundenen Pflichten und den möglichen Folgen eines Verstoßes gegen diese Bestimmungen vertraut zu machen. Auch darauf, dass das Datengeheimnis nach Beendigung der Tätigkeit fortbesteht, ist hinzuweisen.

Datenschutzinformation an betroffene Personen

Warum ist diese Information wichtig?

Ein wichtiges Ziel des Datenschutzes ist Transparenz!

Die Pfarrei nutzt (verarbeitet) die Daten von Menschen in vielfältiger Weise. So verarbeitet die Pfarrei bspw. die Daten ihrer Gemeindemitglieder bei der Anmeldung zu einem Sakrament, damit dieses besondere Ereignis organisiert und durchgeführt werden kann. Sie verarbeitet möglicherweise auch die Daten der Menschen, die sich bei ihr bewerben und auch von denjenigen, die bereits bei der Pfarrei angestellt sind. Bei Reisen oder sonstigen Veranstaltungen mit Anmeldepflicht, die von der Pfarrei organisiert werden (bspw. Jugendfreizeiten, Wallfahrten oder Auslandsreisen), werden die Daten der Teilnehmenden verarbeitet.

Bevor die Pfarrei in diesen Fällen personenbezogene Daten nutzt, muss sie die betroffenen Personen darüber informieren, was mit deren Daten geschieht. 

Zudem müssen die betroffenen Personen über ihre Rechte informiert werden – also darüber, was sie unternehmen können, wenn sie mit der Datenverarbeitung nicht einverstanden sind oder sie für rechtswidrig halten.

Hierzu erhalten sie von der Pfarrei einen Datenschutzhinweis. 

Wir sprechen hier von einer „Datenschutz-Information nach § 15 KDG“ oder auch von einer „§ 15 – Information“. Dass die Menschen informiert werden müssen und über welche Punkte zu informieren ist, ergibt sich aus dem Kirchlichen Datenschutzgesetz (§ 15 KDG).

 

Wie ist zu informieren?

Diese Information erfolgt schriftlich. So sind Menschen, die sich bei Ihnen zu einem Sakrament anmelden, bei Aushändigung (z. B. Abdruck der Rückseite des Anmeldebogens oder als Anlage beifügen) des Anmeldeformulars zu informieren – spätestens aber bei Abgabe des ausgefüllten Formulars. Jemand, der sich bei Ihnen bewirbt, sollte informiert werden, sobald Sie die Bewerbungsunterlagen erhalten haben und neue Mitarbeiterinnen und Mitarbeiter bei Unterzeichnung des Arbeitsvertrages. Sie müssen diese Informationen jedoch nicht aufdrängen. Es reicht aus, wenn Sie auf das Dokument hinweisen. Wünscht die betroffene Person das Dokument nicht, muss es auch nicht ausgehändigt werden. 

Sie müssen sich auch nicht schriftlich bestätigen lassen, dass diese Information erteilt wurde.

Es ist auch möglich, dass die Datenschutz-Information auf einer Webseite bereitgestellt wird. An geeigneter Stelle kann dann auf die dort gespeicherte Information verwiesen werden (z. B. als Link in einer E-Mail in Eingangsbestätigungsmail an Bewerber/in). Bei Reiseanmeldungen bspw. gehört der Hinweis auf das Anmeldeformular.

Um Ihnen die Arbeit hier so einfach wie möglich zu machen, haben wir für viele Situationen bereits die erforderlichen Schreiben für Sie erstellt. Diese müssen nur minimal von Ihnen angepasst werden:

Dokumentation der Datenverarbeitung

Warum ist dies erforderlich?

Die Pfarreien sind gesetzlich verpflichtet, ihre Datenverarbeitungen zu dokumentieren.

Zum Umfang dieser Dokumentation hat die Katholische Datenschutzaufsicht KDSA Nord (der Diözesandatenschutzbeauftragte) Vorgaben gemacht. Diese Dokumentation wird im Gesetz kompliziert als „Verzeichnis von Verarbeitungstätigkeiten“ bezeichnet. Wir sprechen hier häufig auch von „Verfahren“ oder „Prozessen“.

 

Was ist zu tun?

Wir dokumentieren gemeinsam die Datenverarbeitungen Ihrer Pfarrei in der Software DSN port privacy. Dort haben wir für Sie bereits die wichtigsten Datenverarbeitungen für Ihre Pfarrei hinterlegt. In den Formularfeldern zu den einzelnen Verfahren haben wir die Stellen markiert, an denen von der Pfarrei noch Anpassungen vorzunehmen sind.

Jede Pfarrei erhält einen Zugriff auf das DSN port privacy. Dadurch können Sie die Verfahren gemeinsam mit uns ergänzen und überarbeiten.

 

Welche Verfahren müssen erfasst werden?

Erfasst werden müssen alle Verfahren und Prozesse, bei denen Daten von Menschen in irgendeiner Weise verarbeitet werden:

• Verwaltung des Gemeindemitgliederverzeichnisses über e-mip
• Verwaltung und Organisation mit der Software „KaPlan“
• Verwaltung und Organisation mit der Software „Ecclesias“
• Bewerbungsverfahren
• Personalverwaltung (wenn die Pfarrei selbst Arbeitsverträge schließt)
• Organisation und Durchführung von Sakramenten
• Verteilung des Pfarrbriefes und Besuchsdienste
• Durchführung von Reisen 
• Übertragung von Gottesdiensten im Internet
• Videoüberwachung
• Durchführung von Videokonferenzen

 

Wie gehen wir vor?

Datenpannen

Worum geht es?

Ein wichtiges Ziel des (kirchlichen) Datenschutzrechts ist der Schutz der Menschen vor einem Missbrauch ihrer Daten. Sofern ein unbefugter Dritter Kenntnis von den personenbezogenen Daten eines anderen erlangt hat, kann dies schnell zu Nachteilen für die betroffene Person führen (z. B. unerwünschte Kontaktaufnahme, Identitätsdiebstahl, Erpressung, Rufschädigung).

Machen Sie sich bewusst, dass alle persönlichen Daten schützenswert sind! Dies gilt auch für Daten, die auf den ersten Blick scheinbar unkritisch sind – wie z. B. die Postanschrift oder die E-Mail-Adresse. Daher ist es wichtig, dass die Pfarrei sorgfältig mit diesen Daten umgeht und sie vor einem Zugriff Unberechtigter schützt.
 

Was ist eine Datenschutzverletzung?

Eine Verletzung des Schutzes personenbezogener Daten (kurz: „Datenpanne“) liegt immer dann vor, wenn eine unbefugte Person Zugang zu personenbezogenen Daten hat bzw. haben könnte, für die Ihre Pfarrei verantwortlich ist.

Folgende Datenpannen kommen häufig in den Pfarreien vor:

• Erteilung von Auskünften an unberechtigte Personen,
• Diebstahl oder Verlust eines Laptops oder einer Digital-Kamera mit Personendaten bzw. Personenfotos,
• Versand einer E-Mail mit offenem Verteiler, sodass für alle Empfänger die E-Mail-Adressen der übrigen Empfänger erkennbar sind, und
• Erstellung und Veröffentlichung von Fotos im Pfarrbrief und auf der Website ohne Einwilligung der/des Abgebildeten
   

Was ist zu tun?

Betroffenenrechte

Ein wichtiger Punkt des neuen Datenschutzrechts ist die Stärkung der Rechte von Personen, deren Daten verarbeitet werden.

Diese sollen vor allem die Möglichkeit haben, sich darüber zu informieren, welche ihrer Daten von der Pfarrei gespeichert wurden. Es kann daher sein, dass jemand eine Auskunftsanfrage an die Pfarrei richtet. Sofern Daten des Anfragenden von der Pfarrei nicht oder nicht mehr gespeichert bzw. genutzt werden dürfen, kann auch von ihr verlangt werden, dass diese Daten gelöscht werden.

 

Was ist in diesen Fällen zu tun?

Auskunftsersuchen muss die Pfarrei zügig – spätestens aber innerhalb eines Monats – beantworten. Diese Auskünfte sind kostenfrei zu erteilen. Wird auch eine Löschung der Daten verlangt, muss auch die Löschung innerhalb der Monatsfrist erfolgen.

Schritt 1: Prüfung der Personenidentität

Sofern jemand von der Pfarrei Auskunft verlangt, müssen Sie zunächst klären, ob diese Person auch tatsächlich das Recht auf eine Auskunft hat – also ob es sich bei der anfragenden Person auch tatsächlich um die Person handelt, über die Auskunft erteilt werden soll.

So ist eine Identitätsprüfung möglich: Sie können die anfragende Person bitten, persönlich im Pfarrbüro zu erscheinen und sich ggf. auszuweisen. Das Antwortschreiben kann auch per Post an eine Ihnen bekannte Postanschrift (z. B. aus e-mip) übermittelt werden, um sicherzustellen, dass die richtige Person diese Information erhält. Schließlich können Sie auch um Zusendung einer (entsprechend geschwärzten) Kopie des Personalausweises der anfragenden Person bitten, um die Legitimität des Auskunftsanspruchs zu prüfen.

Schritt 2: Beantwortung des Auskunftsersuchens

Bitte erteilen Sie keine telefonischen Auskünfte! Denn eine Feststellung der Identität des Anrufenden ist nicht zweifelsfrei möglich – und auch die angezeigte Rufnummer muss nicht stimmen. Wir unterstützen Sie gerne bei der Bearbeitung solcher Anfragen.

Für das Antwortschreiben gilt Folgendes: Erfolgt die Anfrage per E-Mail, sollte die Antwort auch per E-Mail erfolgen. Die Auskunft zu den Daten ist der E-Mail in einem verschlüsselten Anhang beizufügen, um Datenpannen durch unsichere Übermittlungen zu vermeiden. In allen anderen Fällen erfolgt die Auskunft auf dem Postweg.

Für die Fälle, in denen jemand gegenüber der Pfarrei sein Auskunftsrecht geltend macht, haben wir schon ein Musterschreiben für Sie erstellt. Es umfasst auch eine Tabelle für die Auflistung der Daten sowie eine Datenschutz-Information nach § 15 KDG:

Dienstleister der Pfarrei (Auftragsverarbeitung)

Kann oder soll eine Tätigkeit nicht durch die Pfarrei selbst vorgenommen werden, wird regelmäßig ein Dienstleister beauftragt.

 

Warum ist das für den Datenschutz wichtig?

Wenn der Dienstleister hierbei personenbezogene Daten verarbeitet oder zumindest mit diesen in Berührung kommt, muss zwischen der Pfarrei (Auftragnehmerin) und dem Dienstleister (Auftragsverarbeiter) ein Datenschutzvertrag abgeschlossen werden. Diese Pflicht ergibt sich aus § 29 KDG.

 

Welche Fälle betrifft dies?

Ein Vertrag zur Auftragsverarbeitung ist z. B. notwendig, wenn externe Dienstleister

• die EDV in der Pfarrei organisieren, ihnen Computer oder andere Geräte zur Verfügung stellen und diese auch warten,
• die eingesetzten Programme warten und bei Problemen helfen,
• für den Betrieb der Website die Hardware bereitstellen (Hosting),
• Adressdaten für den Versand von Pfarrbriefen und Zeitungen verarbeiten oder
• Dokumente und Unterlagen für die Pfarrei archivieren oder vernichten.

Diese Dienstleistung wird im Gesetz als „Auftragsverarbeitung“ bezeichnet.

Diesen Vertrag nennt man auch „Vertrag zur Auftragsverarbeitung“. In diesem Vertrag dokumentiert der Dienstleister, welche Maßnahmen von ihm getroffen wurden, um sicherzustellen, dass keine Unbefugten auf die Daten der Pfarrei zugreifen können.

In vielen Fällen beziehen sich die Verträge von Dienstleistern auf die DSGVO. Dann benötigen Sie noch eine ergänzende Vereinbarung, die sicherstellt, dass der Dienstleister das kirchliche Datenschutzrecht beachtet.

 

Was ist zu tun?

BISTUM HILDSHEIM: Vollzug von Sakramenten

Damit ein Sakrament vollzogen werden kann, ist eine Anmeldung erforderlich. Hierbei verarbeitet die Pfarrei die Daten aus dem Anmeldeformular.

 

Was ist zu tun?

Über diese Datenverarbeitung muss die Pfarrei informieren.

Für einzelne Sakramente haben wir für Sie die Datenschutz-Informationsschreiben erstellt.

ERZBISTUM HAMBURG: Vollzug von Sakramenten

Damit ein Sakrament vollzogen werden kann, ist eine Anmeldung erforderlich. Hierbei verarbeitet die Pfarrei die Daten aus dem Anmeldeformular.

 

Was ist zu tun?

Über diese Datenverarbeitung muss die Pfarrei informieren. 

Für die einzelnen Sakramente haben wir für Sie die Datenschutz-Informationsschreiben erstellt.

Verwendung von Fotos

Möchten Sie für die Pfarrei Personenfotos erstellen  – etwa um diese im Pfarrbrief oder auf der Website zu veröffentlichen – benötigen Sie grundsätzlich eine Einwilligung der abgebildeten Personen.

ACHTUNG: Wenn eine Person vor der Kamera posiert oder nicht gegen das Erstellen des Fotos einschreitet, willigt sie nicht in die Veröffentlichung der Fotos ein.

Grundsätzlich ist hier zwischen Einwilligungserklärungen von Personen unter 16 Jahren und solchen, die das 16. Lebensjahr bereits vollendet haben, zu unterscheiden.

Denn ab dem 16. Lebensjahr kann der Jugendliche selbst entscheiden, ob Fotos von ihm veröffentlicht werden dürfen. Ist die abgebildete Person jünger, müssen ihre Sorgeberechtigten einwilligen. Falls der Jugendliche bereits 14 Jahre alt ist, sollte er auch die Einwilligungserklärung unterzeichnen.

In einigen Fällen können Fotos auch ohne Einwilligung verwendet werden. Dies ist z. B. möglich, wenn Fotos von Aufzügen oder Versammlungen erstellt werden. Unter Umständen gilt dies auch für Veranstaltungen (Hinweistafel an den Eingängen).

Ausführliche Informationen hierzu finden Sie in dieser Arbeitshilfe:

Reiseveranstaltungen (Erwachsene)

Häufig organisiert die Pfarrei Reisen (Wallfahrten, Pilgerreisen, Städtereisen).

Auch hier werden regelmäßig Daten der Teilnehmenden verarbeitet. Meist erfolgt dies mittels eines Anmeldeformulars. Erfassen Sie hierbei nur die Daten der Teilnehmer/innen, die Sie für die Organisation und Durchführung der Reise auch tatsächlich benötigen.

 

Was ist zu tun?

Aus datenschutzrechtlicher Sicht ist hier Folgendes wichtig:

1. Verpflichtung aller Personen, die an der Organisation beteiligt sind oder als Betreuer/innen mitreisen, auf das Datengeheimnis
2. Information der Reiseteilnehmer/innen über die Nutzung ihrer Daten durch eine Datenschutz-Information nach § 15 KDG

Ferienfreizeiten (Kinder und Jugendliche)

Viele Pfarreien bieten jungen Gemeindemitgliedern Freizeitaktivitäten während der Ferien an. Veranstaltet werden aber bspw. auch Fahrten der Erstkommunionskinder und Firmlinge, Tagesausflüge und Ferienlager. Diese werden meistens von ehrenamtlich tätigen Betreuern mitorganisiert und durchgeführt.

Bei der Anmeldung werden regelmäßig auch sehr sensible Daten erfasst. Hierunter fallen bspw. Angaben zu Allergien/Krankheiten, Medikationen oder Informationen zur familiären Situation der Teilnehmenden. Diese Informationen werden in vielen Fällen den Betreuerinnen und Betreuern mitgegeben.

 

Was ist zu tun?

Aus datenschutzrechtlicher Sicht ist hier Folgendes wichtig:

1. Verpflichtung aller Personen, die an der Organisation beteiligt sind oder als Betreuer/innen mitreisen, auf das Datengeheimnis. In diesem Zusammenhang sollten diese darauf hingewiesen werden, dass

• die Unterlagen zu den Reiseteilnehmern sorgfältig aufzubewahren sind,
• unbefugte Personen (hierzu gehören unter Umständen auch andere Betreuende) keinen Zugriff auf diese Dokumente haben dürfen und
• die Dokumente nach Ende der Ferienfreizeit an das Pfarrbüro zurückzugeben sind, damit sie dort datenschutzkonform vernichtet werden können.

2. Fotoeinwilligung: Auf Ferienfreizeiten werden auch Fotos gemacht. Diese werden in der Regel den Teilnehmenden zur Verfügung gestellt. Sie können aber auch für die Öffentlichkeitsarbeit genutzt werden. Hierzu ist eine Einwilligung erforderlich. Diese kann bereits mit der Anmeldung eingeholt werden. 

3. Information für die Sorgeberechtigten der Reiseteilnehmer/innen über die Nutzung ihrer Daten durch eine Datenschutz-Information nach § 15 KDG.

Feste und Veranstaltungen

Gelegentlich bieten Pfarreien für die Gemeindemitglieder oder Interessierte Veranstaltungen an. Das können Lesungen, seelsorgerische Treffen, oder sonstige Zusammenkünfte sein (z. B. Seniorenkaffee).

Das Datenschutzrecht wird für Sie nur relevant, wenn

• eine persönliche Anmeldung zu der Veranstaltung erforderlich ist.
• eine namentliche Erfassung für den Erhalt von Fördermitteln erforderlich ist.
• Kontaktdaten erfasst werden sollen, um die Teilnehmer für zukünftige Veranstaltungen einzuladen.

 

Was ist zu tun?

1. Information der Veranstaltungsteilnehmer über die Nutzung ihrer Daten durch eine Datenschutz-Information nach § 15 KDG.

2. Fotoeinwilligung: Auf diesen Veranstaltungen werden meist auch Fotos gemacht. Diese werden in der Regel für die Öffentlichkeitsarbeit genutzt. Hierzu ist meist eine Einwilligung erforderlich.

 

Muss immer eine Einwilligung eingeholt werden, wenn die Pfarrei Fotos nutzen möchte?

Eine Einwilligung ist immer der sicherste Weg. Manchmal ist die Einholung einer Einwilligung wegen Art und Größe der Veranstaltung nicht oder kaum möglich. Unter bestimmten Voraussetzungen kann hier auf eine Einwilligung verzichtet werden.

Dies betrifft vor allem zwei Situationen:

 

Sonderfall I: Veranstaltungen

Dies gilt bspw. für Veranstaltungen der Gemeinde.

• In der Einladung/Ankündigung wird bereits darauf hingewiesen, dass Fotos gemacht werden.
• An den Eingängen zur Veranstaltung werden Hinweisschilder angebracht.
• Es wurde eine Risikobewertung durchgeführt: Hierbei wurde festgestellt, dass die Nutzung der Fotos in diesem besonderen Fall auch ohne Einwilligungserklärung zulässig ist. Es besteht ein berechtigtes Interesse der Pfarrei an der Foto-Veröffentlichung.

Die Diözesandatenschutzbeauftragten verlangen in diesen Fällen die vorherige Durchführung einer Risikobewertung. Hierfür haben wir einen Fragebogen für die Pfarreien erstellt.

 

Sonderfall II: Versammlungen/Aufzüge

Werden bei größeren Veranstaltungen (bspw. Osterprozession) Fotos für eine Veröffentlichung erstellt, kann unter Umständen auf eine Einwilligung verzichtet werden:

Dies ist dann der Fall, wenn hier nicht einzelne Personen, sondern die Veranstaltung insgesamt im Vordergrund steht. Die Klärung der Frage, ob in dem konkreten Fall eine Einwilligungserklärung erforderlich ist, ist meist schwierig. Und auch hier ist eine Risikobewertung vorzunehmen.

 

Ausführliche Informationen hierzu finden Sie in der „Arbeitshilfe zum Umgang mit Fotos“.

Geburtstagsbesuche

Es ist ein sehr schöner Brauch, Gemeindemitglieder an besonderen Geburtstagen zu besuchen und ihnen im Namen der Gemeinde Glückwünsche auszusprechen. Sie benötigen hierfür keine Einwilligung der „Geburtstagskinder“.

Oft übernehmen ehrenamtlich Tätige die Besuche und erhalten hierfür eine Liste mit den Namen, Adressen und Geburtsdaten.

Diese ehrenamtlich Tätigen sind auf das Datengeheimnis zu verpflichten. Denn sie müssen vertrauensvoll mit diesen Listen umgehen. Die Listen sollten nach den Besuchen ins Pfarrbüro zurückgebracht und dort datenschutzgerecht vernichtet werden.

Verteilung des Pfarrbriefes

Der Pfarrbrief ist ein wichtiges Kommunikationsmittel in der Pfarrei. Er ermöglicht einen direkten Kontakt zu den Gemeindemitgliedern und informiert über das Gemeindeleben und besondere Ereignisse. Oft enthält der Pfarrbrief auch Freizeitangebote für verschiedene Altersgruppen.

Ehrenamtlich Tätige, die den Pfarrbrief verteilen und hierfür eine Liste mit den Namen und Adressen der Gemeindemitglieder erhalten, müssen auf das Datengeheimnis verpflichtet werden. Denn sie müssen vertrauensvoll mit diesen Listen umgehen. Die Listen sollten nach den Besuchen ins Pfarrbüro zurückgebracht und dort datenschutzgerecht vernichtet werden.

Veröffentlichung von Kirchenaustritten

Wenn ein Gemeindemitglied aus der Kirche austritt, ist das sehr bedauerlich. Es ist aber wichtig, dies streng vertraulich zu behandeln.

BISTUM HILDESHEIM: Veröffentlichung von Sakramenten, Geburtstagen und Jubiläen

Wenn die Pfarrei die Gemeinde über Sakramentspenden, Geburtstage und sonstige Jubiläen informieren möchte, ist grundsätzlich eine Einwilligungserklärung erforderlich.

Im Bistum Hildesheim existiert die sog. Jubiläumsordnung:

Auf der Grundlage der Jubiläumsordnung darf die Pfarrei Daten zu bestimmten Geburtstagen und Jubiläen auch ohne Einwilligungserklärung der betroffenen Personen in den Pfarrnachrichten (z. B. Pfarrbrief, Gottesdienstordnung) veröffentlichen.

Dabei handelt es sich aber nur um den 70. Geburtstag, jeden fünften weiteren Geburtstag und ab dem 90. Geburtstag jeder folgende Geburtstag. Folgende Ehejubiläen dürfen bekanntgegeben werden: 25. Ehejubiläum, 50. Ehejubiläum und danach jedes weitere 5. Ehejubiläum.

Genannt werden dürfen hierbei das Ereignis sowie Ereignisdatum, Vor- und Nachname und der Wohnort (nicht die Straße) des Jubilars.

ERZBISTUM HAMBURG: Veröffentlichung von Sakramenten, Geburtstagen und Jubiläen

Wenn die Pfarrei die Gemeinde über Sakramentspenden, Geburtstage und sonstige Jubiläen informieren möchte, ist grundsätzlich eine Einwilligungserklärung erforderlich.

Im Erzbistum Hamburg existiert die sog. Jubiläumsordnung:

Auf der Grundlage der Jubiläumsordnung darf die Pfarrei Daten zu bestimmten besonderen Ereignissen auch ohne Einwilligungserklärung der betroffenen Personen in den Pfarrnachrichten (z. B. Pfarrbrief, Gottesdienstordnung) veröffentlichen. Dies betrifft vor allem Sakramentspenden, Ehe- und Geburtstagsjubiläen.

Genannt werden dürfen hierbei das Ereignis sowie Ereignisdatum, Vor- und Nachname und der Wohnort (nicht die Straße) des Jubilars.
 

Videoübertragung von Gottesdiensten

Einige Pfarreien ermöglichen auch Gemeindemitgliedern, denen sonst eine Teilnahme nicht möglich wäre, eine Teilnahme am Gottesdienst. Hierzu überträgt die Pfarrei den Gottesdienst per Video.

Damit dies möglich ist, benötigen Sie Einwilligungserklärungen von den Personen (Priester, Ministranten), die während der Videoübertragung zu sehen sind bzw. von deren Sorgeberechtigten.

Hier sind aus datenschutzrechtlicher Sicht weitere Punkte zu beachten. Zur rechtssicheren Umsetzung haben wir für Sie eine Arbeitshilfe mit allen wichtigen Informationen und Dokumenten erstellt.

Videoüberwachung

Leider ist manchmal in den Pfarreien eine Videoüberwachung erforderlich. Dies betrifft vor allem Kirchengebäude, wenn dort bspw. Diebstähle oder Fälle von Vandalismus aufgetreten sind.

Damit eine Videoüberwachung zulässig ist, müssen aus datenschutzrechtlicher Sicht einige Punkte beachtet werden:

• Berechtigtes Interesse der Pfarrei an der Videoüberwachung: Es müssen in der Vergangenheit Vorfälle eingetreten sein (z. B. Vandalismus, Einbruchdiebstahl), die diese Überwachungsmaßnahme rechtfertigen.
• An allen Eingängen zum videoüberwachten Bereich müssen sich Hinweistafeln befinden.

Weitere wichtige Punkte sind

• die Ausrichtung der Kamera,
• die Speicherdauer der Videodaten und
• die Zeiträume der Überwachung.
   

Computersicherheit

Ein weiterer wichtiger Punkt ist der Schutz der Computer im Pfarrbüro.

Hier sollten verschiedene Maßnahme ergriffen werden, damit unbefugte Dritte nicht auf die dort gespeicherten Daten zugreifen können:

• Es muss sichergestellt sein, dass sich Dritte nicht unbeaufsichtigt im Pfarrbüro aufhalten (auch wenn Ihnen diese persönlich bekannt sind).
• Die Software auf Ihrem Computer sollte immer auf dem neusten Stand sein.
• Der Zugang zum Computer sollte durch individuelle Kennworte gesichert sein. Das Kennwort sollte mindestens zehnstellig sein – aus groß- und kleingeschriebenen Buchstaben bestehen sowie mindestens eine Zahl und ein Sonderzeichen enthalten. Aufgeschriebene Kennworte bitte sicher verwahren.
• Bitte sperren Sie den Computer auch dann, wenn Sie nur für kurze Zeit Ihren Arbeitsplatz verlassen (Microsoft-Taste & Taste „L“ betätigen).
• Die Festplatten der Laptops sollten verschlüsselt werden.
• E-Mail-Nachrichten an einen größeren Adressatenkreis, müssen so versandt werden, dass für die übrigen Teilnehmer nicht ersichtlich ist, wer die E-Mail noch erhalten hat. Hierzu sind die E-Mail-Adressen der Empfänger in das BCC-Feld des E-Mail-Programms einzutragen. Das ist insbesondere dann der Fall, wenn der Adressatenkreis nur durch wenige Anknüpfungspunkte miteinander verbunden ist (z. B. Teilnehmer an einer Wallfahrt). Besteht hingegen eine enge Verbindung zwischen den Adressaten (z. B. Mitglieder des Kirchenvorstandes) ist eine Nutzung des BCC-Feldes nicht erforderlich. Im Zweifelsfall sollte immer das BCC-Feld genutzt werden.
• Möchten Sie Personendaten per E-Mail versenden (Teilnehmer- oder Adressenliste), sollten diese Daten in einem verschlüsselten Anhang verschickt werden, der mit einem (zehnstelligen) Kennwort gesichert ist. Bitte teilen Sie dem Empfänger das Kennwort auf einem anderen Kommunikationsweg mit (z. B. per persönlichem Telefonat, SMS).

Die wichtigsten Punkte und deren praktische Umsetzung haben wir für Sie in einer Arbeitshilfe beschrieben:

Videokonferenzen

Auch bei der Durchführung einer Videokonferenz muss das kirchliche Datenschutzrecht beachtet werden.

 

Zeitpunkt der Informationserteilung

Die Datenschutz-Information für die betreffenden Videokonferenzplattform sollte der E-Mail mit der Einladung (Zugangslink) als Anlage beigefügt werden – am besten als Anlage im PDF-Format.

Gäste-WLAN in der Pfarrei

Häufig stellen Pfarreien ihren Mitarbeitenden und ihren Besuchern einen drahtlosen Internetzugang zur Verfügung (Gäste-WLAN). 

Auch hier besteht die Notwendigkeit, dass die Pfarrei die Nutzer/innen über die hiermit verbundene Datenverarbeitung informiert. Zudem sollte die Nutzung des Internetzugangs klar geregelt sein. 

 

Zeitpunkt der Informationserteilung

Sinnvoll ist es, die Nutzungsbedingungen für das Gäste-WLAN (mit den Zugangsdaten) und die Datenschutz-Information nach § 15 KDG – am besten laminiert – in der Pfarrei zusammen auszuhängen bzw. auszulegen. 

Erfolgt die Anmeldung für den WLAN-Zugang über eine Website, sollten auf dieser die Nutzungsbedingungen und die Datenschutz-Information nach § 15 KDG heruntergeladen werden können.

Die Datenschutz-Information, die Nutzungsbedingungen sowie einen Leitfaden für das Gäste-WLAN haben wir schon für Sie vorbereitet:

Internetseiten zum Datenschutz (Links)

Unsere „datenschutz notizen“ (Blog der DSN GROUP) finden Sie hier.
Hier finden Sie zahlreiche Beiträge unserer Berater/innen auch zum kirchlichen Datenschutzrecht.

Der Diözesandatenschutzbeauftragte des Erzbistums Hamburg, der Bistümer Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.O.
Die Website der Datenschutzaufsichtsbehörde der Pfarrei. Dort finden Sie einige sehr hilfreiche Informationen und Arbeitshilfen zum kirchlichen Datenschutz, die Beschlüsse der kirchlichen Aufsichtsbehörden und das Online-Meldeformular für Datenpannen.