Grundlagen zum Datenschutz im BEFG

Konkrete Hilfen für die Umsetzung in den Gemeinden

Der Bund Evangelisch-Freikirchlicher Gemeinden hat eine eigene Datenschutzordnung, die DSO-BUND. Damit gehen für Gemeinden viele Vorteile einher. Gleichzeitig ist es wichtig, dass Gemeinden sich an die Vorgaben halten. Auf diesen Seiten gibt es dafür Anleitungen und Hilfestellung. Wir geben einen übersichtlichen Überblick über das komplexe Themengebiet und stellen die Punkte vor, die Gemeinden zu beachten haben.

Als die DSGVO 2016 in Kraft trat, gab es für Kirchen eine „Ausnahme“: Wenn sie zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung von Daten anwandten, so durften diese Regeln weiter angewandt werden, sofern sie mit der DSGVO in Einklang gebracht wurden. 

Von dieser Möglichkeit hat der BEFG Gebrauch gemacht und seine bestehenden Vorschriften in Form der DSO-BUND an die DSGVO angepasst. 

Was bringt uns das?

Vorteil der eigenen DSO-BUND ist unter anderem, dass wir z.B. eine eigene „Aufsichtsbehörde“ haben dürfen (Datenschutzrat), die von unserem Bundesbeauftragten für Datenschutz geleitet wird. Aufgabe des Bundesbeauftragten für Datenschutz ist unter anderem, die Stellen des Bundes (das sind z.B. Gemeinden) über maßgebliche Entwicklungen des Datenschutzes zu sensibilisieren, zu informieren und zu beraten.

Das ist der eigentliche große Vorteil, den wir haben: Unser Datenschutzbeauftragter kennt sich mit den Arbeitsweisen und besonderen Herausforderungen von Gemeinden aus und kann sie gezielt beraten, damit sie Lösungen finden, die mit der DSO-BUND im Einklang stehen.

Die DSO-BUND verwendet viele Begriffe, deren Bedeutung sich auf der ersten Blick vielleicht nicht erschließt. Das haben Rechtstexte leider häufig an sich. Wenn man beginnt, sich mit dem Thema zu beschäftigen, entstehen zunächst viele Fragen. Lasst Euch davon nicht entmutigen und lest in einem ersten Schritt die DSO-BUND einmal komplett durch. In §3 der Datenschutzordnung werden viele der verwendeten Begriffe erläutert. Mit der Zeit und etwas Übung fügen sich viele der Puzzleteile zusammen. 

Grundlegende „Prinzipien“

Die ersten Jahre mit der DSO-BUND haben gezeigt, dass Gemeinden häufig vor ähnlichen Herausforderungen stehen, für die Ihr hier die ersten Schritte zur Lösung findet.

Man kann das Thema Datenschutz beliebig kompliziert machen, im Grunde ist es aber einfach:

  1. Es ist grundsätzlich nicht erlaubt, personenbezogene Daten zu verarbeiten, außer die DSO-BUND bietet hierfür eine gesetzliche Grundlage. Wenn wir personenbezogene Daten verarbeiten, müssen wir daher für jede Verarbeitung diese gesetzliche Grundlage aus der DSO-BUND kennen und benennen. (Es gibt neun sogenannte Erlaubnistatbestände).

  2. Wenn wir personenbezogene Daten verarbeiten, informieren wir die betroffenen Personen zum Zeitpunkt der Erhebung darüber, auf welche Weise (von wem, wie lange, wofür, etc. ...) die Daten verarbeitet werden. (DSO-BUND §10 Abs. 2)

  3. Wir dokumentieren an zentraler Stelle, welche Datenverarbeitungsprozess es bei „uns“ (verantwortliche Stelle, z.B. Gemeinde) gibt und auf welche Weise (von wem, wie lange, wofür, etc.) die Daten verarbeitet werden. (DSO-BUND §20)

  4. Wer mit personenbezogenen Daten arbeitet, verpflichtet sich zur Verschwiegenheit (DSO-BUND §17).

Grundlegende Themen

Einwilligung

Dass im Gemeindealltag eine Menge personenbezogene Daten verarbeitet werden, ist uns oft nicht bewusst, weil wir es so gewohnt sind. Aber ein Gemeindeverzeichnis zu drucken, Geburtstage im Gottesdienst zu verkünden oder Telefonnummern und Fotos von Gemeindemitgliedern oder Freunden in den Gemeindebrief zu drucken oder online zu veröffentlichen, ist Verarbeitung von personenbezogenen Daten. Und dafür braucht es eine Rechtsgrundlage (sh. Punkt 2). Der „Königsweg“ ist hier die Einwilligung. Wenn Ihr die betroffenen Personen vorher fragt und sie Euch die Erlaubnis für einen konkreten Verarbeitungsvorgang geben, habt Ihr nichts zu befürchten. (Das Ganze müsst Ihr natürlich im Zweifelsfall nachweisen können, weshalb es sich dringend empfiehlt, die Einwilligungen zu dokumentieren.)

Vorlage: Einwilligung in Verarbeitungsvorgänge im Gemeindealltag

Beachtet bei der Verwendung der Vorlage die Hinweise aus diesem Dokument.

Datenschutzerklärung

Punkt 2 setzen wir in der Regel durch eine Datenschutzerklärung um (entsprechend DSO-BUND §10 Abs. 2). Die veröffentlichen wir meistens auf einer Webseite, weil sie dort nicht nur leicht erreichbar ist, sondern wir auch an verschiedenen Stellen darauf verweisen können. Auch wenn die Datenschutzerklärung oft lang und unübersichtlich ist, ist ihr Zweck simpel: Den betroffenen Personen sagen, was wir mit ihren personenbezogenen Daten machen. Auch wenn wir die Datenschutzerklärung online bereithalten, kann sie trotzdem über Verarbeitungsvorgänge aufklären, die offline passieren: wenn z.B. ein Gemeindeverzeichnis gedruckt wird oder man sich mit einem Formular zur Gemeindefreizeit anmeldet. 

Je nachdem an wie viel Stellen Ihr personenbezogene Daten verarbeitet, kann die Datenschutzerklärung länger oder kürzer ausfallen.

Vorlage: Datenschutzerklärung (Stand 23.08.2022) 

Verfahrensverzeichnis

Hinter 3., der Dokumentation, verbirgt sich u.a. das sogenannte Verzeichnis der Verarbeitungstätigkeiten. Das ist eine detaillierte Darstellung aller Vorgänge, bei denen Ihr personenbezogene Daten verarbeitet. Dort muss z.B. angegeben werden, auf welcher Rechtsgrundlage die Daten verarbeitet werden (Punkt 1), wer alles Zugriff darauf hat, wie lange die Daten gespeichert werden, etc.

Vorlage: Verzeichnis der Verarbeitungstätigkeiten (Stand 09.10.2023)

Technische und organisatorische Maßnahmen (TOMs)

Nach §18 DSO-BUND müssen verantwortliche Stellen, also z. B. Gemeinden, für die Verarbeitung von personenbezogenen Daten geeignete technische und organisatorische Maßnahmen (TOMs) treffen und dokumentieren, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten.

Den meisten Vorlagen für solche TOMs ist leider anzumerken, dass bei der Entwicklung der Datenschutzgesetze das Thema hauptsächlich aus rein technischer Perspektive betrachtet wurde. Der Schutz von personenbezogenen Daten in einer Serverfarm ist aber sehr viel „leichter“, als in einer Gemeinde, in der persönliche Beziehungen und Begegnungen im Vordergrund stehen.

Diese Vorlage soll euch erleichtern, bei den technischen und organisatorischen Maßnahmen und dem Umsetzen des „angemessenen Sicherheitsniveaus“, das ihr in der Gemeinde zum Schutz von personenbezogen Daten erfüllen müsst, auf die richtige Spur zu kommen.

Vorlage: Technische und organisatorische Maßnahmen (TOM) zum Schutz von personenbezogenen Daten (Stand 23.11.2023)

Verpflichtung auf den Datenschutz

Dass Hauptamtliche in Gemeinden auf den Datenschutz verpflichtet werden, ist oft Teil des Arbeitsvertrags. In Gemeinden arbeiten aber häufig auch Ehrenamtliche mit personenbezogenen Daten, z.B. wenn sie auf Gemeindeveranstaltungen Fotos von den Teilnehmern machen oder sie eine Jugendfreizeit leiten und dafür eine Teilnehmerliste erstellen. Um den Datenschutz auch an dieser Stelle sicherzustellen, müsst Ihr sie auf den Datenschutz verpflichten (Punkt 5, vgl. DSO-Bund §17).

Vorlage: Merkblatt und Verpflichtungserklärung für Ehrenamtliche

IP-Adressen übertragen

Ein Punkt, der in der Praxis sehr relevant geworden ist, obwohl es um ein „Spezialthema“ geht, ist die Weitergabe von IP-Adressen in Drittstaaten wie z. B. die USA. Die ist nur nach ausdrücklicher Einwilligung der Nutzer erlaubt. Das betrifft viele Gemeinden, die Google Fonts, YouTube-Videos oder Google Maps auf ihren Webseiten einsetzen. Bei all diesen Dingen werden schon beim Laden der Webseite die IP-Adressen der Nutzer an Google übertragen. Das ist verboten, kann aber technisch gelöst werden. 

Viele Webseitenvorlagen nutzen inzwischen die Google Fonts (Schriftarten). Bei jedem Aufruf der Seite wird automatisch und ohne Nutzereinwilligung die IP-Adresse des Besuchers an die Google-Server übermittelt, damit von dort die Schriftarten geladen werden können. Um das zu verhindern, müsst Ihr die Google Schriften lokal hosten oder vor dem Laden der Schriften eine Einwilligung einholen. 

Ähnlich ist es mit dem Anzeigen von eingebetteten YouTube-Videos (und deren Vorschaubildern) und Karten von Google Maps. Da diese aber nicht lokal gehostet werden können, ist hier eine Einwilligung zwingend erforderlich:  Der Nutzer muss vor dem Laden der Videos oder der Karte einen entsprechenden Hinweis bestätigen, dass er mit der Übertragung seiner IP-Adresse an Google einverstanden ist.

Dasselbe gilt analog für alle weiteren externen Dienste, an die bei der Webseitennutzung IP-Adressen übertragen werden. Sprecht für die konkrete Umsetzung mit Eurem Webmaster.