Datenschutz in der Pfarrei – Häufig gestellte Fragen

Warum ist der Aufwand bei der Umsetzung des Datenschutzes so hoch?

Das Kirchliche Datenschutzgesetz (kurz: KDG) gibt die umzusetzenden Punkte vor.
Ergänzt werden diese durch zusätzliche Vorgaben der kirchlichen Datenschutzaufsicht (Diözesandatenschutzbeauftragter).

Diese Regelungen sind teilweise sehr kompliziert und streng. Vielfach sind die Anforderungen umständlich und in der Praxis nur schwer umsetzbar.

Mit unseren Mustern, Arbeitshilfen, Schulungen und dem Datenschutz-Management-Tool privacy port versuchen wir, den Aufwand für Sie so gering wie möglich zu halten.

Begriffe

Um Ihnen die Arbeit zu erleichtern, möchten wir Ihnen die wichtigsten Begriffe hier kurz erläutern:

Datenschutzbeauftragter: Der Datenschutzbeauftragte unterstützt die Pfarrei bei der Umsetzung der gesetzlichen Anforderungen. Er ist zur Verschwiegenheit verpflichtet und als Vertrauensperson zu verstehen.

Diözesandatenschutzbeauftragter: Der Diözesandatenschutzbeauftragte ist die Aufsichtsbehörde. Diese überprüft ggf. auch in der Pfarrei vor Ort die Einhaltung der datenschutzrechtlichen Vorgaben. Die Ergebnisse seiner Prüfung fasst er in einem Bericht zusammen. Er kann Datenverarbeitungen beanstanden oder sogar ganz untersagen.

Personenbezogene Daten: Alle Daten, die man einer bestimmten Person zuordnen kann oder die eine Person näher beschreiben. Hierzu zählen beispielsweise Name, Anschrift, Geburtsdaten, IBAN, Kfz-Kennzeichen, Personalnummer.

Betroffene Person: Die betroffene Person ist die Person, deren Daten von der Pfarrei verarbeitet werden. Der Mitarbeitende ist betroffene Person, wenn Daten aus seinem Beschäftigungsverhältnis verarbeitet werden. Der Täufling und dessen Sorgeberechtigten sind betroffene Personen, wenn ihre Daten anlässlich der Taufe verarbeitet werden.

Kirchliches Datenschutzgesetz: Die Katholische Kirche darf aufgrund des Selbstverwaltungsrechts den Datenschutz für sich selbst gesetzlich regeln. Für Kirchliche Einrichtungen gilt daher nicht die Europäische Datenschutzgrundverordnung (DSGVO) sondern das Kirchliche Datenschutzgesetz (KDG).

Datenschutz-Management-Tool | privacy port: Aus dem KDG ergeben sich für die Pfarreien umfangreiche Dokumentationspflichten. Damit die Pfarreien diesen Pflichten nachkommen kann, stellen wir ihnen die Software „privacy port“ zur Verfügung. Dort können diese Pflichtangaben übersichtlich abgebildet und bei Änderungen gemeinsam bearbeitet werden. Bei dieser Datenschutzmanagement-Software handelt es sich um
eine Eigenentwicklung, die auf Servern in unserem Haus betrieben wird.

Datenschutz-Information nach § 15 KDG: Werden die Daten von Menschen verarbeitet, müssen die Betroffenen von der Pfarrei frühzeitig und umfassend informiert werden. Die Information betrifft unter anderem die Angaben, wie lange diese Daten von der Pfarrei gespeichert werden oder ob Dritte Kenntnis von Ihnen erhalten.

Auftragsverarbeitung: Hierbei handelt es sich um Dienstleistungen, die Dritte (Unternehmen) für die Pfarrei übernehmen. Voraussetzung ist, dass diese Dienstleister mit Personendaten der Pfarrei in Berührung kommen (könnten). Hierunter fallen z. B. die Aktenvernichtung oder IT-Dienstleister der Pfarrei.

Hat die Pfarrei einen Datenschutzbeauftragten?

Für Ihre Pfarrei ist ein Datenschutzbeauftragter bestellt:

Herr Dr. Uwe Schläger
datenschutz nord GmbH
Konsul-Smidt-Straße 88
28217 Bremen

Sie erreichen ihn über die E-Mail-Adresse kirche@re-move-this.datenschutz-nord.de oder
die Telefonnummer +49 421 69 66 32-0.

Verpflichtung auf das Datengeheimnis

Jede Person, die in der Pfarrei mit personenbezogenen Daten zu tun hat, ist auf das Datengeheimnis zu verpflichten.

Das betrifft auch ehrenamtlich Tätige, die beispielsweise eine Liste (mit Namen, Geburtsdatum und Anschrift) von Gemeindemitgliedern erhalten, um diesen zum Geburtstag zu gratulieren.

Die Verpflichtungserklärungen der Hauptamtlichen sind jeweils in der Personalakte abzulegen, die der Ehrenamtlichen sollten in einem separaten Ordner aufzubewahrt werden. Drei Jahre nach Ende der ehrenamtlichen Tätigkeit sind die Verpflichtungserklärungen zu vernichten.

Datenschutzinformation an betroffene Personen

Warum ist diese Information wichtig?

Ein wichtiges Ziel des Datenschutzes ist Transparenz.

Wenn die Pfarrei die Daten von Menschen in irgendeiner Form nutzt (verarbeitet), müssen diese so früh wie möglich darüber informiert werden, was mit ihren Daten geschieht.

Wir sprechen hier von einer „Datenschutz-Information nach § 15 KDG“ oder auch von einer „§ 15 – Information“.

So verarbeitet die Pfarrei bspw. die Daten ihrer Gemeindemitglieder bei der Anmeldung zu einem Sakrament, damit dieses besondere Ereignis organisiert und durchgeführt werden kann. Sie verarbeitet möglicherweise auch die Daten der Menschen, die sich bei Ihnen bewerben und auch von denjenigen, die bereits bei der Pfarrei angestellt sind. Bei Reisen oder sonstigen Veranstaltungen mit Anmeldepflicht, die von der Pfarrei organisiert werden (bspw. Jugendfreizeiten, Wallfahrten oder Auslandsreisen), werden die Daten der Teilnehmer verarbeitet.

Dass die Menschen informiert werden müssen, und über welche Punkte zu informieren ist, ergibt sich aus dem Kirchlichen Datenschutzgesetz (§ 15 KDG).

Was ist hierbei zu beachten?

Diese Information erfolgt schriftlich. So sind Menschen, die sich bei Ihnen zu einem Sakrament anmelden, bei Abgabe des Anmeldebogens zu informieren. Jemand, der sich bei Ihnen bewirbt, sollte informiert werden, sobald Sie die Bewerbungsunterlagen erhalten haben und neue Mitarbeiterinnen und Mitarbeiter bei Unterzeichnung des Arbeitsvertrages. Sie müssen diese Informationen nicht aufdrängen. Es reicht aus, wenn Sie auf das Dokument hinweisen. Wünscht die betroffen Person das Dokument nicht, muss es auch nicht aushändigt werden. Der Empfang muss nicht dokumentiert werden.

Es ist auch möglich, dass die Information auf der Webseite bereitgestellt wird. An geeigneter Stelle muss dann auf der Webseite auf diese Information verwiesen werden. Bei Reiseanmeldungen beispielsweise gehört der Hinweis auf das Anmeldeformular.

Um Ihnen die Arbeit hier so einfach wie möglich zu machen, haben wir für viele Situationen bereits die erforderlichen Schreiben für Sie erstellt. Diese müssen nur minimal von Ihnen angepasst werden:

Dokumentation der Datenverarbeitung

Warum ist dies erforderlich?

Die Pfarreien sind gesetzlich verpflichtet, ihre Datenverarbeitungen zu dokumentieren.

Zum Umfang dieser Dokumentation haben die Diözesandatenschutzbeauftragten Vorgaben gemacht. Diese Dokumentation wird im Gesetz kompliziert als „Verzeichnis von Verarbeitungstätigkeiten“ bezeichnet. Wir sprechen hier häufig auch von „Verfahren“ oder „Prozessen“.

Was ist zu tun?

Wir dokumentieren die Datenverarbeitungen Ihrer Pfarrei in der Software privacy port. Dort haben wir für Sie bereits die wichtigsten Datenverarbeitungen für Ihre Pfarrei hinterlegt. In den Formularfeldern zu den einzelnen Verfahren haben wir die Stellen markiert, an denen von der Pfarrei noch Anpassungen vorzunehmen sind.

Jede Pfarrei erhält einen Zugriff auf das privacy port. Dadurch können Sie die Verfahren gemeinsam mit uns ergänzen und überarbeiten.

Welche Verfahren müssen erfasst werden?

Erfasst werden müssen alle Verfahren und Prozesse, bei denen Daten von Menschen in irgendeiner Weise verarbeitet werden:

• Verwaltung des Gemeindemitgliederverzeichnisses über e-mip
• Bewerbungsverfahren
• Personalverwaltung (wenn die Pfarrei selbst Arbeitsverträge schließt)
• Organisation und Durchführung von Sakramenten
• Verteilung des Pfarrbriefes und Besuchsdienste
• Durchführung von Reisen und Veranstaltungen
• Übertragung von Gottesdiensten im Internet
• Videoüberwachung
• Pfarreiverwaltung mit der Software „pfiffig“
• Verwaltung und Organisation mit der Software „KaPlan“
• Verwaltung und Organisation mit der Software „Ecclesias“

Wie gehen wir vor?

Im Rahmen von Video- oder Telefonkonferenzen werden wir Ihnen die Funktionen der Software privacy port erläutern. Änderungen können wir auch gerne gemeinsam vornehmen.

Datenpannen

Was ist eine Datenpanne?

Von einer „Datenschutzverletzung“ (oder einfacher „Datenpanne“) sprechen wir, wenn ein  Unbefugter Zugang zu personenbezogenen Daten hat bzw. haben könnte, für die Ihre Pfarrei verantwortlich ist.

Eine Datenpanne kann zum Beispiel vorliegen, wenn

• Papierdokumente verloren gehen,
• bei einem Einbruch der Laptop oder eine Kamera gestohlen wird,
• eine E-Mail an den falschen Empfänger versandt wird oder
• bei einer E-Mail an mehrere Gemeindemitglieder alle E-Mail-Adressen für alle Empfänger sichtbar sind.

Was ist zu tun?

Fehler passieren – das ist menschlich. Wenn eine Datenpanne passiert, muss geprüft werden, ob Meldepflichten bestehen, also

• ob der Diözesandatenschutzbeauftrage zu informieren ist (hierzu existiert ein Meldeformular auf der Website der KDSA) und
• ob zudem auch die betroffenen Personen über diesen Vorfall zu unterrichten sind.

Ob eine Meldung erfolgen muss, hängt davon ab, welche Risiken für die Person, deren Daten einem unbefugten Dritten zur Kenntnis gelangt sind, bestehen.

Die Prüfung muss schnell erfolgen. Sollten Meldungen erforderlich sein, müssen diese innerhalb von 72 Stunden nach Bekanntwerden der Datenpanne auf den Weg gebracht werden.

In der Pfarrei sollte jemand für die Bearbeitung dieser Fälle zuständig sein, damit alle Haupt- und Ehrenamtlichen wissen, an wen sie sich im Fall einer Datenpanne wenden können. Die Telefonnummer und E-Mail-Adresse des Ansprechpartners und eines Vertreters sollten in der Pfarrei bekannt gemacht werden (Aushang, E-Mail).

Betroffenenrechte

Ein wichtiger Punkt des neuen Datenschutzrechts ist die Stärkung der Rechte von Personen, deren Daten verarbeitet werden.

Diese sollen vor allem die Möglichkeit haben, sich darüber zu informieren, welche ihrer Daten von der Pfarrei gespeichert wurden. Es kann daher sein, dass jemand eine Auskunftsanfrage an die Pfarrei richtet. Sofern Daten des Anfragenden von der Pfarrei nicht oder nicht mehr gespeichert bzw. genutzt werden dürfen, kann auch von ihr verlangt werden, dass diese Daten gelöscht werden.

Was ist zu tun?

Solche Anfragen müssen Sie innerhalb eines Monats beantworten. Diese Auskünfte sind kostenfrei zu erteilen.

Sie müssen sicher sein, dass Sie die richtige Person informieren (keine telefonischen Auskünfte). Wenn die Auskunft sensible Daten betrifft, kann sogar eine Ausweiskopie als Identitätsnachweis angefordert werden. Wir unterstützen Sie gerne bei der Bearbeitung solcher Anfragen.

Dienstleister der Pfarrei (Auftragsverarbeitung)

Kann oder soll eine Tätigkeit nicht durch die Pfarrei selbst vorgenommen werden, wird regelmäßig ein Dienstleister beauftragt.

Warum ist das für den Datenschutz wichtig?

Wenn der Dienstleister hierbei personenbezogene Daten verarbeitet oder zumindest mit diesen in Berührung kommt, muss zwischen der Pfarrei (Auftragnehmerin) und dem Dienstleister (Auftragsverarbeiter) ein Datenschutzvertrag abgeschlossen werden. Dies ergibt sich aus § 29 KDG.

Welche Fälle betrifft dies?

Ein Vertrag zur Auftragsverarbeitung ist z.B. notwendig, wenn externe Dienstleister

• die EDV in der Pfarrei organisieren, ihnen Computer oder andere Geräte zur Verfügung stellen und diese auch warten,
• die eingesetzten Programme warten und bei Problemen helfen,
• für den Betrieb der Webseite die Hardware bereitstellen,
• Adressdaten für den Versand von Pfarrbriefen und Zeitungen verarbeiten oder
• Dokumente und Unterlagen für die Pfarrei archivieren oder vernichten.

Diese Dienstleistung wird im Gesetz als „Auftragsverarbeitung“ bezeichnet.

Mit dem Dienstleister muss dann ein Datenschutzvertrag geschlossen werden. Diesen Vertrag nennt man auch „Vertrag zur Auftragsverarbeitung“. In diesem Vertrag dokumentiert der Dienstleister, welche Maßnahmen getroffen wurden, um sicherzustellen, dass keine Unbefugten auf die Daten zugreifen können.

In vielen Fällen beziehen sich die Verträge von Dienstleistern auf die DSGVO. Dann benötigen Sie noch eine ergänzende Vereinbarung, die sicherstellt, dass der Dienstleister das kirchliche Datenschutzrecht beachtet.

BISTUM HILDSHEIM: Vollzug von Sakramenten

Damit ein Sakrament vollzogen werden kann, ist eine Anmeldung erforderlich. Genutzt werden hierbei meist die Formulare aus dem elektronischen Gemeindemitgliederverzeichnis e-mip. Hierbei verarbeitet die Pfarrei die Daten aus dem Anmeldeformular.

Was ist zu tun?

Über diese Datenverarbeitung muss die Pfarrei informieren. Hierzu haben wir eine § 15 – Information für Sie erstellt. Hier müssen Sie unter der Überschrift „Verantwortlicher“ nur den Namen und die Anschrift Ihrer Pfarrei eintragen.

§ 15 – Information bei Anmeldung zu Sakramenten

Bitte stellen Sie diese Information bei Anmeldung (Abgabe des Formulars) zur Verfügung!

Sollen Daten (z.B. Namen) zu Sakramentspenden im Gemeindebrief oder auf der Webseite der Pfarrei veröffentlicht werden, muss in der Regel eine Einwilligung eingeholt werden:

Taufe: Veröffentlichungen im digitalen Gemeindebrief oder auf der Gemeindewebseite erfordern eine Einwilligung.

Firmung/Kommunion: Veröffentlichungen im Gemeindebrief (Papier), im Programmablauf der Messe, im digitalen Gemeindebrief oder auf der Gemeindewebseite erfordern eine Einwilligung.

Trauung: Im Rahmen der Vorbereitung der Trauung erfolgt die Vermeldung des gesetzlich vorgeschriebenen Aufgebots im Sonntagsgottesdienst oder durch Aushang in der Kirche. Veröffentlichungen im Gemeindebrief (Papier), im Programmablauf der Messe, im digitalen Gemeindebrief oder auf der Gemeindewebseite erfordern eine Einwilligung.

Was gilt für die Veröffentlichung von Fotos?

Werden während der Sakramentsspende von der Pfarrei Fotos gemacht, ist grundsätzlich eine Einwilligungserklärung der abgebildeten Personen erforderlich. Dies gilt insbesondere dann, wenn Sie Fotos dieses besonderen Ereignisses in Ihrem Pfarrbrief oder auf der Webseite veröffentlichen möchten.

Etwas anderes gilt, wenn ein professioneller Fotograf auf Grund einer entsprechenden Beauftragung die Fotos erstellt. In diesen Fällen muss die Pfarrei keine Einwilligungserklärungen einholen. Auch wenn Sie z. B. während einer Trauung Fotos erstellen, um sie dem Brautpaar für den privaten Gebrauch zu überlassen, ist keine Einwilligung erforderlich.

ERZBISTUM HAMBURG: Vollzug von Sakramenten

Damit ein Sakrament vollzogen werden kann, ist eine Anmeldung erforderlich. Genutzt werden hierbei meist die Formulare aus dem elektronischen Gemeindemitglieder­- verzeichnis e-mip. Hierbei verarbeitet die Pfarrei die Daten aus dem Anmeldeformular.

Was ist zu tun?

Über diese Datenverarbeitung muss die Pfarrei informieren. Hierzu haben wir eine § 15 – Information für Sie erstellt. Hier müssen Sie unter der Überschrift „Verantwortlicher“ nur den Namen und die Anschrift Ihrer Pfarrei eintragen.

§ 15 – Information bei Anmeldung zu Sakramenten

Bitte stellen Sie diese Information bei Anmeldung (Abgabe des Formulars) zur Verfügung!

Was ist bei der Veröffentlichung von Daten zu beachten?

Grundsätzlich erfordert die Veröffentlichung von Personendaten eine Einwilligung. Im Erzbistum Hamburg dürfen Daten zu Sakramentspenden (bspw. Name) im Gemeindebrief oder auf der Webseite unter folgenden Voraussetzungen auch ohne Einwilligung veröffentlicht werden:

1. Die Veröffentlichung beschränkt sich auf Vor- und Nachnamen sowie den Wohnort (nicht Adresse), das Ereignis sowie das Datum des Ereignisses.
2. Die Pfarrei weist einmal jährlich in dem selben Medium auf die Möglichkeit des Widerspruchs hin. Dabei handelt es sich um eine Besonderheit im Erzbistum Hamburg, die sich aus der sog. Jubiläumsordnung ergibt.

Die Einzelheiten hierzu sind im Ausführungsdekret zur Veröffentlichung von Sakramentsspendungen sowie Geburtstags-, Ehe-, Weihe-, Ordens- und Dienstjubiläen im Erzbistum Hamburg vom 31. Mai 2019 beschrieben.

Was gilt für die Veröffentlichung von Fotos?

Werden während der Sakramentsspende von der Pfarrei Fotos gemacht, ist grundsätzlich eine Einwilligungserklärung der abgebildeten Personen erforderlich. Dies gilt insbesondere dann, wenn Sie Fotos dieses besonderen Ereignisses in Ihrem Pfarrbrief oder auf der Webseite veröffentlichen möchten. Die Einwilligungserklärungen finden Sie unten.

Etwas anderes gilt, wenn ein professioneller Fotograf auf Grund einer entsprechenden Beauftragung die Fotos erstellt. In diesen Fällen muss die Pfarrei keine Einwilligungserklärungen einholen. Auch wenn Sie z. B. während einer Trauung Fotos erstellen, um sie dem Brautpaar für den privaten Gebrauch zu überlassen, ist keine Einwilligung erforderlich.

Verwendung von Fotos

Möchten Sie für die Pfarrei Personenfotos erstellen  – etwa um diese im Gemeindebrief oder auf der Webseite zu veröffentlichen  – benötigen Sie grundsätzlich eine Einwilligung der abgebildeten Personen.

ACHTUNG: Wenn eine Person vor der Kamera posiert oder nicht gegen das Erstellen des Fotos einschreitet, willigt sie nicht in die Veröffentlichung der Fotos ein.

Grundsätzlich ist hier zwischen Einwilligungserklärungen von Personen unter 16 Jahren und solchen, die das 16. Lebensjahr bereits vollendet haben zu unterscheiden.

Denn ab dem 16. Lebensjahr kann der Jugendliche selbst entscheiden, ob Fotos von ihm veröffentlicht werden dürfen. Ist die abgebildete Person jünger, müssen (auch) die Sorgeberechtigten einwilligen.

In einigen Fällen können Fotos auch ohne Einwilligung verwendet werden. Dies ist z.B. möglich, wenn Fotos von Aufzügen oder Versammlungen erstellt werden. Unter Umständen gilt dies auch für Veranstaltungen (Hinweistafel an den Eingängen).

Ausführliche Informationen hierzu finden Sie in der „Arbeitshilfe zum Umgang mit Fotos“

Reiseveranstaltungen

Häufig organisiert die Pfarrei Reisen (Wallfahrten, Pilgerreisen, Städtereisen).
Auch hier werden regelmäßig Daten der Teilnehmenden verarbeitet. Meist erfolgt dies mittels eines Anmeldeformulars. Erfassen Sie hierbei nur die Daten der Teilnehmer/innen, die Sie für die Organisation und Durchführung der Reise auch tatsächlich benötigen.

Was ist zu tun?

Aus datenschutzrechtlicher Sicht ist hier Folgendes wichtig:

1. Verpflichtung aller Personen, die an der Organisation und Reise beteiligt sind, auf das Datengeheimnis
2. Information der Reiseteilnehmer/innen über die Nutzung ihrer Daten durch eine Datenschutz-Information nach § 15 KDG

Ferienfreizeiten

Viele Pfarreien bieten jungen Gemeindemitgliedern Freizeitaktivitäten während der Ferien an. Hierunter fallen z.B. Tagesausflüge oder Ferienlager. Diese werden meistens von ehrenamtlich tätigen Betreuern mitorganisiert und durchgeführt.

Bei der Anmeldung werden von den Teilnehmern regelmäßig auch sehr sensible Daten erfasst. Hierunter fallen bspw. Angaben zu Allergien/Krankheiten, Medikationen oder Informationen zur familiären Situation. Diese Informationen werden in vielen Fällen den Betreuern mitgegeben.

Was ist zu tun?

Aus datenschutzrechtlicher Sicht ist hier Folgendes wichtig:

1. Verpflichtung aller Personen, die an der Organisation und Reise beteiligt sind, auf das Datengeheimnis.

In diesem Zusammenhang sollten diese darauf hingewiesen werden, dass

• die Unterlagen zu den Reiseteilnehmern sorgfältig aufzubewahren sind,
• unbefugte Personen (hierzu gehören unter Umständen auch andere Betreuende) keinen Zugriff auf diese Dokumente haben dürfen und
• dass die Dokumente nach Ende der Ferienfreizeit an das Pfarrbüro zurückzugeben sind, damit sie dort vernichtet werden können.

2. Fotoeinwilligung: Auf Ferienfreizeiten werden auch Fotos gemacht. Diese werden in der Regel den Teilnehmenden zur Verfügung gestellt. Sie können aber auch für die Öffentlichkeitsarbeit genutzt werden. Hierzu ist eine Einwilligung erforderlich. Diese kann bereits mit der Anmeldung eingeholt werden (siehe hier).

3. Information der Reiseteilnehmer/innen über die Nutzung ihrer Daten durch eine Datenschutz-Information nach § 15 KDG.

Feste und Veranstaltungen

Gelegentlich bieten Pfarreien für die Gemeindemitglieder oder Interessierte Veranstaltungen an. Das können Lesungen, seelsorgerische Treffen, oder sonstige Zusammenkünfte sein (z. B. Seniorenkaffee).

Das Datenschutzrecht wird für Sie nur relevant, wenn ...

• eine persönliche Anmeldung zu der Veranstaltung erforderlich ist.
• eine namentliche Erfassung für den Erhalt von Fördermitteln erforderlich ist.
• Kontaktdaten erfasst werden sollen, um die Teilnehmer für zukünftige Veranstaltungen einzuladen.

Was ist zu tun?

1. Information der Veranstaltungsteilnehmer über die Nutzung ihrer Daten durch eine Datenschutz-Information nach § 15 KDG.

2. Fotoeinwilligung: Auf diesen Veranstaltungen werden meist auch Fotos gemacht. Diese werden in der Regel für die Öffentlichkeitsarbeit genutzt. Hierzu ist meist eine Einwilligung erforderlich. Die Einwilligungserklärungen finden Sie im Register „Verwendung von Fotos“.

Muss immer eine Einwilligung eingeholt werden, wenn die Pfarrei Fotos nutzen möchte?

Eine Einwilligung ist immer der sicherste Weg. Manchmal ist die Einholung einer Einwilligung wegen Art und Größe der Veranstaltung nicht oder kaum möglich. Unter bestimmten Voraussetzungen kann hier auf eine Einwilligung verzichtet werden. Dies betrifft vor allem zwei Situationen:

Sonderfall I: Veranstaltungen

Dies gilt bspw. für Veranstaltungen der Gemeinde

• In der Einladung/Ankündigung wird bereits darauf hingewiesen, dass Fotos gemacht werden.
• An den Eingängen zur Veranstaltung werden Hinweisschilder angebracht.
• Es wurde eine Risikobewertung durchgeführt: Hierbei wurde festgestellt, dass die Nutzung der Fotos in diesem besonderen Fall auch ohne Einwilligungserklärung zulässig ist. Es besteht ein berechtigtes Interesse der Pfarrei an der Foto-Veröffentlichung.

Die Diözesandatenschutzbeauftragten verlangen in diesen Fällen die vorherige Durchführung einer Risikobewertung. Hierfür haben wir einen Fragebogen für die Pfarreien erstellt.

Sonderfall II: Versammlungen/Aufzüge

Werden bei größeren Veranstaltungen (bspw. Osterprozession) Fotos für eine Veröffentlichung erstellt, kann unter Umständen auf eine Einwilligung verzichtet werden:

Dies ist dann der Fall, wenn hier nicht einzelne Personen, sondern die Veranstaltung insgesamt im Vordergrund steht. Die Klärung der Frage, ob in dem konkreten Fall eine Einwilligungserklärung erforderlich ist, ist meist schwierig. Und auch hier ist eine Risikobewertung vorzunehmen.

Geburtstagsbesuche

Es ist ein sehr schöner Brauch, Gemeindemitglieder an besonderen Geburtstagen zu besuchen und ihnen im Namen der Gemeinde Glückwünsche auszusprechen. Sie benötigen hierfür keine Einwilligung der „Geburtstagskinder“.

Oft übernehmen ehrenamtlich Tätige die Besuche und erhalten hierfür eine Liste mit den Namen, Adressen und Geburtsdaten.

WICHTIG: Die Pfarrei muss sich von den Ehrenamtlichen bestätigen lassen, dass diese mit den Listen vertrauensvoll umgehen. Die Listen sollten nach den Besuchen ins Pfarrbüro zurückgebracht und dort vernichtet werden.

Verteilung des Pfarrbriefes

Der Pfarrbrief ist ein wichtigstes Kommunikationsmittel in der Pfarrei. Er ermöglicht einen direkten Kontakt zu den Gemeindemitgliedern und informiert über das Gemeindeleben und besondere Ereignisse. Oft enthält der Pfarrbrief auch Freizeitangebote für verschiedene Altersgruppen.

Übernehmen ehrenamtlich Tätige die Verteilung des Pfarrbriefs und erhalten hierfür eine Liste mit den Namen und Adressen der Gemeindemitglieder, muss von den Ehrenamtlichen schriftlich bestätigt werden, dass diese mit den Listen vertrauensvoll
umgehen.

Die Listen sollten nach der Verteilung ins Pfarrbüro zurückgebracht und dort vernichtet werden.

Veröffentlichung von Kirchenaustritten

Wenn ein Gemeindemitglied aus der Kirche austritt, ist das sehr bedauerlich. Es ist aber wichtig, dies streng vertraulich zu behandeln.

BISTUM HILDESHEIM: Veröffentlichung von Sakramenten, Geburtstagen und Jubiläen

Wenn die Pfarrei die Gemeinde über Sakramentspenden, Geburtstage und sonstige Jubiläen informieren möchte, ist grundsätzlich eine Einwilligungserklärung erforderlich.

Im Bistum Hildesheim existiert die sog. Jubiläumsordnung:

Auf der Grundlage der Jubiläumsordnung darf die Pfarrei Daten zu bestimmten Geburtstagen und Jubiläen auch ohne Einwilligungserklärung der betroffenen Personen in den Pfarrnachrichten und den kircheneigenen Printmedien veröffentlichen.

Dabei handelt es sich aber nur um den 70. Geburtstag, jeden fünften weiteren Geburtstag und ab dem 90. Geburtstag jeder folgende Geburtstag. Folgende Ehejubiläen dürfen bekanntgegeben werden: 25., 50. Ehejubiläum und danach jedes weitere 5. Ehejubiläum.

Genannt werden dürfen hierbei das Ereignis sowie Ereignisdatum, Vor- und Nachname und der Wohnort (nicht die Straße) des Jubilars.

ERZBISTUM HAMBURG: Veröffentlichung von Sakramenten, Geburtstagen und Jubiläen

Wenn die Pfarrei die Gemeinde über Sakramentspenden, Geburtstage und sonstige Jubiläen informieren möchte, ist grundsätzlich eine Einwilligungserklärung erforderlich.

Im Erzbistum Hamburg existiert die sog. Jubiläumsordnung:

Auf der Grundlage der Jubiläumsordnung darf die Pfarrei Daten zu bestimmten besonderen Ereignissen auch ohne Einwilligungserklärung der betroffenen Personen in den Pfarrnachrichten und den kircheneigenen Printmedien veröffentlichen. Dies betrifft vor allem Sakramentspenden Ehe- und Geburtstagsjubiläen.

Genannt werden dürfen hierbei das Ereignis sowie Ereignisdatum, Vor- und Nachname und der Wohnort (nicht die Straße) des Jubilars.

Videoübertragung von Gottesdiensten

Einige Pfarreien ermöglichen auch Gemeindemitgliedern, denen sonst eine Teilnahme nicht möglich wäre, eine Teilnahme am Gottesdienst. Hierzu überträgt die Pfarrei den Gottesdienst per Video.

Damit dies möglich ist, benötigen Sie Einwilligungserklärungen von den Personen (Priester, Ministranten), die während der Videoübertragung zu sehen sind bzw. deren Sorgeberechtigten.

Hier sind aus datenschutzrechtlicher Sicht weitere Punkte zu beachten. Zur rechtssicheren Umsetzung haben wir für Sie eine Arbeitshilfe mit allen wichtigen Informationen und Dokumenten erstellt.

Videoüberwachung

Leider ist manchmal in den Pfarreien eine Videoüberwachung erforderlich. Dies betrifft vor allem Kirchengebäude, wenn dort bspw. Diebstähle oder Fälle von Vandalismus aufgetreten sind.

Damit eine Videoüberwachung zulässig ist, müssen aus datenschutzrechtlicher Sichteinige Punkte beachtet werden:

An allen Eingängen zum videoüberwachten Bereich müssen sich Hinweistafeln befinden. Weitere wichtige Punkte sind z.B. die Ausrichtung der Kamera, die Speicherdauer der Videodaten und die Zeiträume der Überwachung.

Setzen Sie sich gerne mit uns in Verbindung, wenn Sie die Einführung einer Videoüberwachungsanlage planen.

Computersicherheit

Ein weiterer wichtiger Punkt ist der Schutz der Computer im Pfarrbüro.

Hier sollten verschiedene Maßnahme ergriffen werden, damit unbefugte Dritte nicht auf die dort gespeicherten Daten zugreifen können:

• Es muss sichergestellt sein, dass sich Dritte nicht unbeaufsichtigt im Pfarrbüro aufhalten (auch wenn Ihnen diese persönlich bekannt sind).
• Die Software auf Ihrem Computer sollte immer auf dem neusten Stand sein.
• Der Zugang zum Computer sollte durch individuelle Kennworte gesichert sein. Das Kennwort sollte achtstellig sein, aus groß- und kleingeschriebenen Buchstaben bestehen sowie mindestens eine Zahl und ein Sonderzeichen enthalten. Aufgeschriebene Kennworte bitte sicher verwahren.
• Bitte Sperren Sie den Computer auch dann, wenn Sie nur für kurze Zeit Ihren Arbeitsplatz verlassen (Microsoft Taste & Taste „L“ betätigen).
• Die Festplatten der Laptops sollten verschlüsselt werden.
• E-Mail-Nachrichten an einen größeren Adressatenkreis, müssen so versandt werden, dass für die übrigen Teilnehmer nicht ersichtlich ist, wer die E-Mail noch erhalten hat. Hierzu sind die E-Mail-Adressen der Empfänger in das BCC-Feld des E-Mail-Programms einzutragen. Das ist insbesondere dann der Fall, wenn der Adressatenkreis nur durch wenige Anknüpfungspunkte miteinander verbunden ist (z.B. Teilnehmer an einer Wallfahrt). Besteht hingegen eine enge Verbindung zwischen den Adressaten (z.B. Mitglieder des Kirchenvorstandes) ist eine Nutzung des BCC-Feldes nicht erforderlich. Im Zweifelsfall sollte immer das BCC-Feld genutzt werden.
• Möchten Sie Personendaten per E-Mail versenden (Teilnehmer- oder Adressenliste), sollten diese Daten in einem verschlüsselten Anhang verschickt werden, der mit einem (achtstelligen) Kennwort gesichert ist.

Die wichtigsten Punkte und deren praktische Umsetzung haben wir für Sie in einer Arbeitshilfe beschrieben.

Internetseiten zum Datenschutz (Links)

Die datenschutz notizen der datenschutz nord GmbH finden Sie hier.
Hier finden Sie zahlreiche Beiträge unserer Berater/innen auch zum kirchlichen Datenschutzrecht.

Der Diözesandatenschutzbeauftragte des Erzbistums Hamburg, der Bistümer Hildesheim, Osnabrück und des Bischöflich Münsterschen Offizialats in Vechta i.O.
Die Webseite der Datenschutzaufsichtsbehörde der Pfarrei. Dort finden Sie einige sehr hilfreiche Informationen und Arbeitshilfen zum kirchlichen Datenschutz, die Beschlüsse der kirchlichen Aufsichtsbehörden und das Online-Meldeformular für Datenpannen.

Gesetze zum Datenschutzrecht

Die kirchlichen Datenschutzregelungen, wie z. B. das Gesetz über den Kirchlichen Datenschutz (KDG) und die Durchführungsverordnung zum Kirchlichen Datenschutzgesetz (KDG-DVO)

• für das Erzbistum Hamburg finden Sie hier
• für das Bistum Hildesheim finden Sie hier