Tipps und Tricks zum Datenschutz

für die Arbeit mit Kindern und Jugendlichen im BEFG

Dass Datenschutz irgendwie wichtig ist, haben wir oft gehört - und vielleicht fast genauso oft verdrängt. Denn meistens schleicht sich mit dem Thema das unangenehme Gefühl ein, dass man ganz dringend etwas tun müsse, aber niemand da ist, der einem sagt, was genau. Geschweige denn, irgendwie dabei hilft. 

In der gemeindlichen Arbeit mit Kindern und Jugendlichen ist Datenschutz besonders wichtig. Denn letztendlich schützen wir keine Daten, sondern Personen: Kinder und Jugendliche, die uns "anvertraut" werden und deren Grenzen wir achten wollen und ihnen helfen, sie selbst zu erkennen und zu schützen. 

Auf dieser Seite werdet ihr nicht alle Lösungen für eure Datenschutzprobleme finden. Aber wir möchten Erklärungen und Umsetzungstipps zu einzelnen Fragestellungen mit euch teilen, die wir bereits erarbeitet haben. Wir aktualisieren die Informationen nach bestem Wissen und ihm Rahmen des Möglichen. Die Tipps beziehen sich auf die DSO-Bund, die für verantwortliche Stellen im Bund Evangelisch-Freikirchlicher Gemeinden gilt.

Unsere Ausführungen sind KEINE Rechtsberatung. Wir können keine Garantie für die Vollständigkeit, Aktualität und Richtigkeit aller Punkte übernehmen. Trotzdem hoffen wir, dass ihr wertvolle Anregungen und Starthilfen findet, um den Schutz von personenbezogenen Daten in der Arbeit mit Kindern und Jugendlichen voranzubringen. 

Warum gilt die DSGVO für uns nicht?

Als die DSGVO in Kraft trat, gab es für Kirchen eine "Ausnahme": Wenn sie zum Zeitpunkt des Inkrafttretens der DSGVO eine eigene Datenschutzordnung hatten, die mit der DSGVO im Einklang steht, durften sie die behalten. Der BEFG hat rechtzeitig eine Datenschutzordnung beschlossen (die DSO Bund), die diese Vorgaben erfüllt. Inhaltlich ändert das nur wenig, da sie ja mit der DSGVO im Einklang stehen musste. 

Aber wir dürfen z.B. ein eigenes „Aufsichtsgremium“ haben (unser Datenschutzrat) und auch die Höhe der Bußgelder kann sich von der DSGVO unterscheiden. Das sind die Vorteile. Der Nachteil ist, dass der Datenschutzrat lediglich die „BEFG-Angebote und -Einrichtungen“ im Blick haben muss. Die Aufsichtsbehörden, die für die DSGVO zuständig sind, müssen alle Unternehmen, Vereine, etc. im Blick haben, die es überhaupt gibt. Die entsprechenden Stellen haben nur relativ wenig Personal und viel mehr zu kontrollieren. Dass bei uns jemand hinguckt, ist also wesentlich wahrscheinlicher, weil unser Aufsichtsgremium ja nur den BEFG beaufsichtigt. (Das macht aber nichts, weil wir ja grundsätzlich Datenschutz wichtig finden und gerne umsetzen ;-)).

Warum und wozu braucht man eine Datenschutzerklärung?

Die DSO Bund verpflichtet uns, betroffene Personen darüber aufzuklären, wann, wie, wo, warum wir von wem Daten verarbeiten und welche Rechte die betroffenen Personen haben, etc. Das tun wir in der Regel über eine Datenschutzerklärung. Was genau da drinstehen muss, richtet sich nach dem, was wir tatsächlich an personenbezogenen Daten verarbeiten. Die Datenschutzerklärung muss entsprechend auf dem Laufenden gehalten werden. Für viele Punkte gibt es Vorlagen.

Auf der Seite des BEFG findet ihr z.B. diese Musterdatenschutzerklärung  Muster-Datenschutzerklärung gemäß DSO-Bund (Stand 14. Mai 2020, rtf-Format)

Ein praktischer Hinweis zur Datenschutzerklärung, der klingt wie ein schlechter Witz: Die sollte klar und nicht verwirrend sein. Das bedeutet zu Beispiel,  sie sollte nur Punkte abdecken, die auch tatsächlich zutreffen. Einfach alles drin zu haben, was man in irgendeiner Vorlage findet, nur um „ganz sicher zu gehen“, funktioniert nicht. Wenn man also z.B. gar keine Google-Maps-Karten einsetzt, gehört der entsprechende Absatz auch nicht in die Datenschutzerklärung. 

Wo kriegen wir eine Datenschutzerklärung her?

Auf der Seite des BEFG (www.baptisten.de/datenschutz) gibt es eine Musterdatenschutzerklärung. (Checkt am besten dort, ob inzwischen eine neuere Version als die hier verlinkte vorhanden ist.)

Ausgehend von der Vorlage können verantwortliche Stellen des BEFG ihre eigene Datenschutzerklärung bauen, indem die Namen und Daten in der Vorlage angepasst werden. Außerdem müssen nicht zutreffende Punkte entfernt werden. Über Datenverarbeitung, die über die Vorlage hinausgeht, muss natürlich auch aufgeklärt werden. Für diese Fälle ist jeweils ein entsprechender Abschnitt hinzuzufügen. 

Warum ändert die sich die Datenschutzerklärung manchmal?

Die Datenschutzerklärung kann sich ändern, weil der BEFG auf der Bundesratstagung Änderungen an der Datenschutzordnung beschließt. Oder weil ihr ein neues Angebot macht, dass da aufgenommen werden muss. Oder es ändert sich einfach nur eine verantwortliche Person oder Ansprechperson bei euch in der Gemeinde oder im Gemeindejugendwerk etc.

Warum kann die Datenschutzerklärung nicht zentral gemacht werden?

Eigentlich wäre es leichter, die Datenschutzsachen zentral zu regeln, so dass z.B. alle Gemeinden oder GJWs dieselbe Datenschutzerklärung haben könnten.

In der DSO Bund (und auch in der DSGVO, der wir entsprechen müssen) gibt es die sogenannte „verantwortliche Stelle“. Eine verantwortliche Stelle im Sinne der DSO-Bund ist „eine Stelle des Bundes, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Und das sind die einzelnen Gemeinden, GJWs, etc. (Z.B. entscheidet ihr, dass ihr Fotos auf euer Webseite veröffentlicht, Teilnehmendenlisten erstellt und an Freizeitleitende weitergebt oder wer Zugang zu eurer Datenbank hat, etc.). Jede verantwortliche Stelle muss über die Datenverarbeitung aufklären, die sie verantwortet. 

Daher müssen alle Gemeinden und GJWs eine eigene Datenschutzerklärung haben, in der dann die Namen der entsprechenden Verantwortlichen stehen, und die für die Angebote der entsprechenden verantwortlichen Stelle gilt. 

D. h. wir kommen nicht drum herum, dass wir hin und wieder checken, ob die Datenschutzerklärung noch aktuell ist. Es empfiehlt sich, dafür eine verantwortliche Person zu bestimmen, damit das nicht versehentlich durchrutscht, weil niemand dran gedacht hat.

Warum gehören Impressum und Datenschutz praktisch manchmal zusammen?

In §5 Abs.1 des Telemediengesetztes steht, dass das Impressum 

  • leicht erkennbar,
  • unmittelbar erreichbar und
  • ständig verfügbar sein muss.

Was genau das in der Praxis bedeutet, dafür gibt es inzwischen viele Urteile.

Für die Datenschutzerklärung gibt es die noch nicht, da gibt es nur die Aussage, dass das analog zum Impressum zu handhaben ist. Also z.B., dass es auch eine eigenständige Rubrik auf einer Webseite sein muss, etc...

Praktisch wendet man also die Regeln, die für das Impressum gelten, auch für die Datenschutzerklärung an.

Was ist ein Impressum?

Ein Impressum gibt im Wesentlichen an, wer für die Inhalte einer Veröffentlichung verantwortlich ist und wie man die/den erreichen kann.

Wer braucht ein Impressum?

Interessant ist diese Frage für die meisten von uns im Hinblick auf „das Internet“. Hier greift das Telemediengesetzt und das besagt, dass man ein Impressum braucht, wenn man das „Angebot“ „geschäftsmäßig“ nutzt. Obwohl wir eine Kirche sind, tun wir das. Jugendfreizeiten kosten z.B. Geld etc.

Ausgenommen von der Impressumspflicht sind nur rein private Angebote wie z.B. ein persönlicher Blog. Aber schon in dem Moment, wenn man darauf ein Werbebanner hat oder über Google Werbung schaltet, braucht man ein Impressum. (Link zum Weiterlesen: https://dejure.org/gesetze/TMG/5.html)

Wofür brauchen wir ein Impressum?

Wir brauchen ein Impressum für unsere Internetseiten und für unsere Social-Media-Auftritte. Also z.B. Facebook, Instagram, Twitter und YouTube. 

Und, leider, leider, betrifft das auch Facebook-Veranstaltungen. Die werden eher als eigene „Webseite“ gesehen als ein statischer Kalendereintrag. (Falls jemand von einem Urteil hört, dass das anders beurteilt, meldet das bitte sofort an mthiele@baptisten.de, damit wir alle informieren können, dass das nicht mehr nötig ist).

Mehr Infos zum Weiterlesen: https://allfacebook.de/policy/whitepaper-faq-zur-impressumspflicht-datenschutzerklaerung-und-disclaimer-bei-facebook

Konkrete Umsetzung - Allgemeine Hinweise

Es hat sich durch Urteile herauskristallisiert, was leicht erkennbar, unmittelbar erreichbar und ständig verfügbar bedeuten. (Die Urteile beziehen sich auf die Impressumspflicht; wir wenden sie analog für die Datenschutzerklärung an. S.o.)

Ständig verfügbar ist einfach. Es heißt genau das.

Unmittelbar erreichbar: Da orientieren sich viele an der Rechtsprechung des OLG München, dass das Impressum schnell auffindbar sein muss, und daher auf jeder Seite gut sichtbar, bzw. verlinkt sein sollte. Laut einer Entscheidung des BGH kann es auch ausreichen, wenn das Impressum mit zwei Klicks erreichbar ist (https://medien-internet-und-recht.de/volltext.php?mir_dok_id=405). Obwohl das Urteil einen Einzelfall betrifft und nicht pauschal übertragbar ist, berufen wir uns insbesondere bei Instagram darauf, so lange dort nur ein Link möglich ist (siehe weiter unten). Sollte Instagram mal zwei Links ermöglichen, müssen wir die Situation ggf. neu bewerten. 

Leicht erkennbar: Der Begriff „Impressum“ sollte vorkommen. Sowas wie „Info“ reicht nicht. Besonders relevant ist das, wenn wir das Impressum nicht an Ort und Stelle haben, sondern auf das Impressum auf unseren Webseiten verlinken. (Das hat den Vorteil, dass wir das Impressum - und die Datenschutzerklärung - nur an einer Stelle aktuell halten müssen...). In diesem Fall muss man den Link z.B. mit „Hier geht’s zum Impressum“ einleiten, es reicht aber auch, wenn man einen "sprechenden Link" hat, der das Wort enthält, also z.B. www.gjw.de/impressum.
Leicht erkennbar bedeutet auch, dass klar sein muss, wofür das Impressum gilt. Das ist ebenfalls dann relevant, wenn man das Impressum verlinkt. Wenn z.B. von der Seite www.buju.de zum Impressum auf der GJW-Seite verlinkt wird, heißt die eine Seite buju.de, die andere gjw.de. Da ist erstmal nicht ersichtlich, dass beides zusammengehört. Daher muss beim Impressum der Name aller Angebote angegeben sein, für die es gilt. Also z.B. „Dieses Impressum gilt auch für www.buju.de“ 

Konkrete Umsetzung: Facebook

Bei Facebook-Pages gibt es Felder für Impressum und Datenschutz, wo man Text oder Links einfügen kann. Wir müssen dafür zu sorgen, dass es bei allen mobilen Ansichten und App-Versionen funktioniert. Darum ist ein sprechender Link in der Beschreibung ein gutes Backup. Denn nicht immer funktioniert die Impressums-Rubrik bei den App-Updates. (Zumindest gab es da in der Vergangenheit immer mal Probleme...)

Für Facebook-Veranstaltungen gibt es die Felder leider nicht. Da muss dann tatsächlich ganz oben in der Beschreibung (ganz oben, weil man diesen Teil immer angezeigt bekommt) stehen: „Impressum“ und „Datenschutz“: [Link zum Impressum und zur Datenschutzerklärung]. Das ist besonders unangenehm, weil wir den Namen von jeder Facebook-Veranstaltung dann auch noch im Impressum auflisten müssen. Und wenn wir die Veranstaltung löschen, ebenfalls wieder löschen...

Zum Thema Datenschutz gibt es hier übrigens eine gute Nachricht: Der Datenschutzrat findet es nicht sinnvoll, dass man jedes Facebook-Event auch in der Datenschutzerklärung auflistet. Hier reicht also der Hinweis bei der Datenschutzerklärung „Diese Datenschutzerklärung gilt auch für die von [Name der verantwortlichen Stelle] erstellten Facebook-Events“.

Konkrete Umsetzung: Instagram

Dasselbe wie für Facebook (s.o.) gilt auch für Instagram. Da ist es nur etwas komplizierter. Denn man kann bei Instagram genau einen klickbaren Link anbringen.

Da möchte man natürlich eigentlich gerne die eigene Webseite verlinken oder einen schönen „Link-in-Bio-Link“, der zu mehr Informationen zu einem aktuellen Post führt. Das geht aber nicht. Denn da muss der Link zum Impressum hin. Und weil dasselbe ja auch für die Datenschutzerklärung gilt (s.o.), muss da auch der Link zur Datenschutzerklärung hin. Wir haben also einen Link, wo wir eigentlich zwei brauchen.

Wenn man ganz clever ist, könnte man sagen, dass man mit dem ersten Klick zur eigenen Webseite kommt und von dort mit dem zweiten Klick zur Datenschutzerklärung und zum Impressum. Leider ist das dann nicht mehr „leicht erkennbar“. 

Der Ansatz ist aber gut: Wir brauchen eine Landingpage, auf der oben prominent Impressum und Datenschutz stehen, bei der aber noch Platz ist für weitere Links, z.B. um mehr über eure Instaram-Posts zu erfahren oder sich zu euren Events anzumelden. 

Ein Anbieter, der solche Landingpages anbietet und der gerne verwendet wird, ist Linktree. Die sitzen aber in den USA und es ist aus Datenschutzsicht nicht empfehlenswert, die zu verwenden.

Landingpages lassen sich aber problemlos im eigenen Internetauftritt erstellen. Ihr müsst lediglich eine Seite bauen, auf der ihr untereinander verschiedenen Links platziert. Die obersten beiden MÜSSEN die Links zu eurem Impressum und eurer Datenschutzerklärung sein. Darunter könnt ihr dann weitere Links einfügen, die auf Seiten mit mehr Informationen zu euren Instagram-Posts führen. Dann richtet ihr für diese Seite eine schönen "sprechende" URL ein (z.B. www.gemeindename.de/impressum_datenschutz_mehr) und bring den bei Instagram folgendermaßen aus:
"Unser Impressum, unsere Datenschutzerklärung und mehr Infos zu unseren Posts findet ihr hier: www.gemeindename.de/impressum_datenschutz_mehr"

Sprecht für das Einrichten der Landingpage am besten mit der Person, die die Internetseite eurer Gemeinde oder eures GJWs betreut.)

HINWEIS FÜR GJWs

Wir können Landingpages mit dem HTML-Element in Typo3 bauen. Inzwischen sollte für alle GJWs der Link nach dem Muster www.gjw-[Name].de/impressum_datenschutz_mehr funktionieren, den ihr bei Instagram einfügen könnt. Bitte prüft vorher, ob der Impressumslink und der Link zur Datenschutzerklärung auch tatsächlich zu EUREM Impressum und zu EURER Datenschutzerklärung führen.

Wenn das nicht klappt, oder ihr wissen möchtet, wie ihr die Links auf der Seite im HTML-Element anpasst, meldet euch bei Mirko unter mthiele@baptisten.de .

Ihr könnt in Instagram den Link folgendermaßen ausbringen:
Unser Impressum, unsere Datenschutzerklärung und mehr Infos zu unseren Posts findet ihr hier: www.gjw-name.de/impressum_datenschutz_mehr

Die folgende Seite sieht dann so wie im Bild, wobei Impressum und Datenschutzerklärung verpflichtend oben stehen und zu eurem Impressum und Datenschutzerklärung führen. Die Links darunter könnt ihr frei wählen und benennen.

Konkrete Umsetzung: Zoom

Auch bei Zoom muss auf die DSO-Bund-konforme Nutzung geachtet werden. Am 14. Mai 2020 hat der Datenschutzbeauftragter des BEFG ein Schreiben veröffentlicht, in dem erklärt wird, unter welchen Voraussetzungen Zoom genutzt werden darf: https://www.befg.de/fileadmin/bgs/media/dokumente/Stellungnahme-Zoom_2020-05-14_Immo-Radtke.pdf )

Die wichtigsten Punkte aus dem Schreiben (und aus der DSO Bund) sind:

1. Alternativen prüfen:
Wenn es europäische Alternativen gibt, die in Frage kommen, sollen wir die nehmen. Wenn ihr ein Online-Meeting mit 50 Leuten machen möchtet, gibt es zurzeit keine gute Alternative. Dann kann die Nutzung von Zoom gerechtfertigt sein.
Wenn ihr aber eine Teambesprechung mit fünf oder sechs Leuten macht, gibt es sehr wohl europäische Lösungen, die das problemlos leisten können. Der AK Internet bietet zum Beispiel  BigBlueButton an, das für solche Treffen gut funktioniert. Die Daten bleiben dabei komplett auf "unsereren" Servern. Es kostet für BEFG-Gemeinden „nichts“. Es wird aber um Spenden gebeten, damit die Server bezahlt werden können. (Wenn ihr das System nutzt, schreibt dem AK Internet gerne mal ein nettes Dankeschön. Die machen das ehrenamtlich und leisten eine ziemlich coole Arbeit!)

2. Informieren:
Über die Datenverarbeitung von Zoom muss aufgeklärt werden. Das geschieht „zweistufig“. Zum einen über die Datenschutzerklärung. Wenn wir Zoom einsetzen, muss ein entsprechender Abschnitt in den Datenschutzerklärungen ergänzt werden. (Eine Vorlage dafür gibt es hier.)
Zum anderen darüber, dass im Kontext der Zoom-Veranstaltung explizit auf diese Datenschutzerklärung (bzw. gerne auch den genauen Abschnitt) hingewiesen wird. Zum Beispiel in der E-Mail, mit der der Zoomlink verschickt wird, oder auf Webseite auf der der Zoomlink steht. Dann wissen die Teilnehmenden direkt, wo sie nachlesen können, was mit ihren Daten passiert. 

Bei Zoom gibt es die Möglichkeit, einen individuellen Textbaustein in die automatisch generierten „Einladungen“ zu integrieren. ( --> Persönlicher Bereich --> Einstellungen --> Sonstiges  --> Einladungs-E-Mail. Dort kann dann folgender Text eingetragen werden: Unsere Datenschutzerklärung ist einzusehen unter [HIER DIE URL DER  DATENSCHUTZERKLÄRUNG EINTRAGEN]

Wenn man den Zoomlink auf einer (internen) Webseite veröffentlicht, muss die URL einfach händisch ergänzt werden.

Außerdem bietet Zoom die Möglichkeit, direkt vor Betreten eines Zoomraumes nochmal ein Popup-Fenster einzublenden, das bestätigt werden muss, bevor man teilnehmen kann. ( --> Adminbereich --> Kontoeinstellungen --> Meeting --> In Meeting (Erweitert) --> Rechtehinweis aufrufen, wenn sie ein Meeting beginnen oder einem beitreten. Hier könnt ihr ihr Folgendes einstellen:

  • Für interne und externe Teilnehmende anzeigen
  • Den gleichen Haftungsausschluss für interne und externe Teilnehmende anzeigen (JA)
  • Frequenz: Jedes Mal
  • Sprache: Deutsch

Dann auf „Weiter“ klicken und den Hinweis eintragen. Z.B.:

Datenschutzhinweis
Mit der Teilnahme am Meeting erkläre ich mich mit der Datenschutzerklärung von [verantwortliche Stelle] (insb. Abs [Hier den Absatz angeben]), einzusehen unter [HIER DIE URL DER DATENSCHUTZERKLÄRUNG ANGEBEN], einverstanden.
Ich bestätige außerdem, dass ich über 16 Jahre alt bin, bzw. der [verantwortliche Stelle] eine Einverständniserklärung einer erziehungsberechtigten Person für diese Zoom-Veranstaltung vorgelegt habe.

3. Elternerklärung:
Wenn Teilnehmende unter 16 Jahren an der Zoom-Veranstaltung teilnehmen sollen, wird von ihnen eine Elternerklärung benötigt , dass sie an dem spezifischen Online-Meeting teilnehmen dürfen. Eine Vorlage dafür gibt es hier mit GJW-Bezug und ohne GJW-Bezug. (Das ergibt sich nicht aus dem Schreiben vom 14. Mail 2020, sondern §6 Abs. 4,5 der DSO Bund). Momentan ist die Lösung dafür noch etwas umständlich: Die Elternerklärung wird im Zuge der Anmeldung zum Download zur Verfügung gestellt, von den Teilnehmenden ausgedruckt, von deren Erziehungsberechtigten unterschrieben, abfotografiert und an den Veranstalter (z.B. die Gemeinde oder das GJW) gemailt. Erst dann dürfen der Person unter 16 Jahren die Zugangsdaten für die Zoom-Veranstaltung mitgeteilt werden. (Hinweis für GJWs: Das ist sehr umständlich und wir arbeiten gerade mit Hochdruck daran, für die GJWs eine einfachere Lösung auf die Beine zu stellen.)

4. AV-Vertrag:
Ihr müsst mit Zoom einen AV-Vertrag abschließen. Das ist „automatisch“ der Fall, wenn ihr euer Zoom-Konto nach dem 8.4.2020 eingerichtet und dabei die Nutzungsbedingungen akzeptiert habt. (Näheres dazu im Schreiben des Datenschutzbeauftragten vom 14. Mai 2020).

5. Kontoinhaber:
Nutzt keine privaten Zoomkonten. Der Inhaber des Zoom-Accounts muss die verantwortliche Stelle oder eine andere Stelle des Bundes sein.

6. Sonstiges:
Des weiteren sind die im Schreiben vom 14. Mai 2020 unter „V. Handlungsempfehlungen für verantwortliche Stellen“ aufgeführten Hinweise zu den Zoom-Einstellungen vom Aufmerksamkeitstracking und Datenverkehr innerhalb Europas, zu beachten und in den in Zoom-Einstellungen umzusetzen. 

Zusammenfassung:
Wir nutzen Zoom nur, wenn wir keine Alternative haben, die das kann, was wir brauchen. Und wenn wir Zoom nutzen, informieren wir die Leute, was dabei mit ihren Daten passiert. Wenn sie unter 16 sind, fragen wir auch deren Eltern, ob das ok ist.

Kurzfristige Nutzung von „neuen“ Tools ohne Aufnahme in die Datenschutzerklärung

Wenn wir für unsere Arbeit Tools einsetzen, bei denen personenbezogene Daten verarbeitet werden, müssen wir die Nutzer vorher darüber aufklären, welche Daten wie verarbeitet werden. Ein Beispiel ist z.B. die Nutzung von Zoom.

In der Regel klären wir darüber in der Datenschutzerklärung auf. Das ist meistens sinnvoll, weil wir sehr einfach darauf verweisen können. Z.B. kann der Link zur Datenschutzerklärung mit dem Zoomlink verschickt werden. (Im konkreten Beispiel Zoom kann inzwischen sogar vor Betreten des Raums noch ein Popup vorgeschaltet werden, in dem man bestätigen muss, dass man mit der Datenschutzerklärung einverstanden ist.)

Wenn sich die Datenschutzerklärung ändert, müssen wir das laut DSO Bund sechs Wochen vorher bekanntgeben, also die Änderungen auf der Seite mit der Datenschutzerklärung ankündigen.

In der Praxis kann es vorkommen, dass wir externe Referentinnen und Referenten zu Gast haben, die ein Tool einsetzen möchten, das nicht in unserer Datenschutzerklärung enthalten ist, sie es uns aber weniger als sechs Wochen vor der "Veranstaltung" mitteilen, sodass wir keine Möglichkeit mehr haben, das rechtzeitig in die Datenschutzerklärung aufzunehmen.

Die Nutzung des Tools ist damit aber nicht grundsätzlich ausgeschlossen. Natürlich muss zunächst geprüft werden, ob das Tool DSO Bund konform genutzt werden kann. Wenn ja, kann es benutzt werden, es muss aber über die Datenverarbeitung durch dieses Tool aufgeklärt werden. – Dies muss nicht zwangsläufig durch die Datenschutzerklärung geschehen.In diesem Fall kann die Aufklärung auch direkt vor der Nutzung erfolgen und dokumentiert werden. (Achtung bei unter 16-Jährigen wg. Einverständniserklärung). 

Es empfiehlt sich, bei der Anfrage an externe Referenten rechtzeitig abzufragen, ob und welche Tools sie nutzen wollen, damit noch genug Zeit für die Datenschutzprüfung bleibt.

Falls so ein Fall bei euch vorkommt, ist es sinnvoll, im Vorfeld zu dokumentieren, wie die Aufklärung über die Datenverarbeitung durch das Tool erfolgt. Falls eine Anfrage vom Datenschutzrat kommt, ist es immer hilfreich, wenn der sieht, dass solche Fälle in dem Veranstaltungskonzept mit bedacht und die Mitarbeitenden entsprechend informiert wurden.

Elternerklärung für Unter-16-Jährige

Wenn ihr datenschutzrelevante Tools wie z.B. Zoom benutzt, müssen Teilnehmenden unter 16 Jahren vorher eine ausgefüllte und unterschriebene Elternerklärung vorlegen, bzw. ein Foto davon schicken. Das hier ist eine Vorlage dafür. Es gibt sie einmal mit GJW-Bezug für alle Landes-GJWs und einmal ohne, für alle anderen verantwortlichen Stellen des BEFG (z.B. Gemeinden)

Elternerklärung Datenschutz U16 Vorlage mit GJW-Bezug

Elternerklärung Datenschutz U16 Vorlage ohne GJW-Bezug

Diesen Workflow müsst ihr immer dann "vorhalten", wenn ihr Zoom-Veranstaltungen macht, die sich auch an unter 16 Jährige richten. 

Verpflichtungserklärung für Ehrenamtliche

Wenn Ehrenamtliche Zugang zu personenbezogenen Daten haben, müssen sie sich auf das Datengeheimnis verpflichten. Zugang zu personenbezogenen Daten kann z.B. bedeutet, dass sie auf Jugendfreizeiten Teilnehmendenlisten einsehen können, dass sie an eurer Internetseite oder eurer Adressdatenbank arbeiten oder dass sie Fotos von Veranstaltungen machen.

Die Vorlage enthält neben der Verpflichtungserklärung auch ein Merkblatt, das den Ehrenamtlichen ausführlich erklärt, was das alles bedeutet und warum es nötig ist. 


Merkblatt und Verpflichtungserklärung für Ehrenamtliche in den Landes GJWs

Merkblatt und Verpflichtungserklärung für Ehrenamtliche in Gemeinden (Blanco-Vorlage)

Verfahrensverzeichnis

Die DSO Bund verpflichtet alle verantwortlichen Stellen, ein Verzeichnis über alle Verarbeitungstätigkeiten (von personenbezogenen Daten) zu führen. (Eine Ausnahme, wann so ein Verzeichnis nicht zu führen ist, findet sich in §20 Abs 5, DSO Bund. - Die wird aber für GJWs und Gemeinden nicht zutreffen, da die Datenverarbeitung dort nicht nur gelegentlich erfolgt.)

Im Verfahrensverzeichnis muss genau aufgeführt werden, wie die Datenverarbeitung bei den einzelnen Prozessen aussieht. Also z.B. wer erfasst welche Daten, zu welchem Zweck auf welcher Rechtsgrundlage, wer hat alles Einsicht in die Daten und an wen werden die ggf. weitergegeben. Wie lange werden sie gespeichert und handelt es sich um besonders sensible Daten, etc.

Das Verfahrensverzeichnis zu erstellen ist einmalig aufwendig, aber es kann dann für neue Prozesse schnell angepasst werden.

Das Verzeichnis zu führen ist außerdem unglaublich hilfreich, um ein Gefühl dafür zu bekommen, wo überall personenbezogene Daten verarbeitet werden und wer alles Zugriff darauf hat. Dabei erkennt man sehr schnell einfache Möglichkeiten zur Datensparsamkeit und -sicherheit. 

Wenn eine Prüfung des Datenschutzrates ansteht, ist das Verfahrensverzeichnis vermutlich das erste Dokument, dass sie sich vorlegen lassen. 

Ein Muster für ein Verfahrensverzeichnis findet ihr hier

Ist Datenschutz auch "innerhalb" der Gemeinde nötig?

Ja. Auch/Gerade die Daten von Gemeindemitgliedern und -freunden werden geschützt und nicht einfach so verarbeitet. (Eine Verarbeitung ist z.B. auch das Erstellen eines Gemeindeverzeichnisses.)

Die Verarbeitung darf nur geschehen, wenn es einen rechtmäßigen Grund für die Verarbeitung gibt*. Ein solcher Grund kann z.B. die Erfüllung kirchlicher Aufgaben sein (§5, Abs 2 lit. c, DSO-Bund). Daten könnten aber auch verarbeitet werden, wenn das zur Förderung des Gemeindezwecks erforderlich ist und keine Anhaltspunkte vorliegen, dass die betroffene Person ein schutzwürdiges Interesse hat, das das Interesse der Verarbeitung überwiegt (§5 Abs. 2 lit. g,h, DSO-Bund).

Darüber hinaus dürfen personenbezogene Daten nur verarbeitet werden, wenn die betroffene Person ihr Einverständnis dazu gegeben hat (§5 Abs. 2 lit. b, DSO-Bund). Um das im Gemeindealltag praktikabel zu gestalten, empfiehlt es sich, von allen Gemeindemitgliedern und -freunden einmalig eine Einverständniserklärung ausfüllen zu lassen, bzw. bei unter 16-Jährigen von deren Erziehungsberechtigten. 

Der Datenschutzbeauftragte des BEFG stellt auf der Seite des BEFG (https://www.befg.de/angebote-fuer/gemeinden/datenschutz/) ein Muster zur Verfügung, aus dem eine solche Datenschutz-Einwilligung erstellt werden kann. Dabei sollten unbedingt die Hinweise in aus diesem Dokument beachtet werden, das ebenfalls auf der BEFG-Seite zu finden ist. 

* Die genaue Definition, wann eine Verarbeitung von personenbezogenen Daten zulässig ist, kann in §5 DSO-Bund nachgelesen werden.

Datenverarbeitung in Jugendgruppen, im Gemeindeunterricht, etc.

 

Wie können wir personenbezogene Daten von Teilnehmenden einer Gemeindegruppe verarbeiten, um Teilnehmendenlisten zu erstellen oder Fotos zu veröffentlichen?

Diese Antwort wird etwas länger, besorg dir also am besten eine Tasse Tee oder Kaffee, und mach es dir gemütlich.

Zunächst ein paar allgemeine Hinweise zu dem Thema:

  • Wenn ihr Daten von „Gemeindekindern“ verarbeitet, bietet es sich an, die Verarbeitung von deren Daten einmal grundsätzlich über eine Einwilligung zu regeln. Dann muss das nicht jedes Mal neu gemacht werden, wenn die Person in eine neue Gemeindegruppe kommt. Auf der Seite des BEFG unter https://www.befg.de/angebote-fuer/gemeinden/datenschutz/ gibt es eine entsprechende Vorlage für eine Datenschutzeinwilligung.

  • Wenn die betroffenen Personen unter 16 Jahre alt sind, muss auch eine Einwilligung von einem Träger oder einer Trägerin der elterlichen Sorge eingeholt werden. (Im Folgenden nennen wir diese Personen der Einfachheit halber „Erziehungsberechtigte“, auch wenn das juristisch nicht ganz korrekt ist.)

Grundsätzlich ist die Verarbeitung von personenbezogenen Daten ganz einfach geregelt:

1. Ihr dürft keine personenbezogenen Daten verarbeiten, außer es ist erlaubt. Was erlaubt ist, leitet sich aus der Datenschutzordnung des BEFG ab (DSO Bund)

2. Wenn ihr personenbezogenen Daten verarbeiten dürft, müsst ihr die betroffenen Personen vor der Verarbeitung darüber aufklären, warum, wie lange, etc. ihr ihre Daten verarbeitet und was sie für Rechte hat. (Eine betroffene Person ist eine Person, deren Daten verarbeitet werden.)

Mit dieser Regelung soll verhindert werden, dass wahllos personenbezogene Daten gesammelt, gespeichert oder auf sonstige Art verarbeitet werden. Alle, die personenbezogene Daten verarbeiten, sollen gut begründen, warum sie das dürfen.

Wenn ihr bestimmte Daten für eure Gemeindegruppe verarbeiten möchtet, stehen eure Chancen gar nicht so schlecht, dass ihr das dürft.

Der bekannteste Grund, aus dem ihr personenbezogene Daten verarbeiten dürft, ist sicherlich die Einwilligung (§5 Abs. 2 lit. b, DSO Bund). Wenn ihr die betroffene Person vorher fragt, ob sie mit der Verarbeitung ihrer Daten einverstanden ist, dürft ihr die Daten in der Art und Weise, die ihr erfragt habt, verarbeiten. (Außer ihr bittet um die Einwilligung in eine offensichtlich illegale Form der Verarbeitung, die wird dann auch durch die Einwilligung nicht legal.)

Eine Einwilligung ist deshalb angenehm, weil sie große Sicherheit bietet. Allerdings ist sie auch mit hohem Aufwand verbunden, denn die Einwilligung muss eingeholt und dokumentiert werden.

Daher lohnt sich ein Blick auf die anderen Punkte, aus denen eine Verarbeitung von personenbezogenen Daten erlaubt sein kann.

Zum Beispiel ist die Verarbeitung von personenbezogenen Daten erlaubt, wenn es zur Erfüllung der Aufgaben der verantwortlichen Stelle nötig ist (§5 Abs. 2 lit. d, DSO Bund; eine verantwortliche Stelle ist zum Beispiel eine Gemeinde). Gemeindeunterricht durchzuführen oder eine Jugendgruppe anzubieten, ist eindeutig eine Aufgabe einer Gemeinde. Und um diese Aufgaben durchführen zu können, ist zum Beispiel nötig, mit den Teilnehmenden kommunizieren zu können. Um eine Liste mit Kontaktdaten der Teilnehmenden zu erstellen und sie mit Infos zu ihrer Gemeindegruppe zu kontaktieren, dafür braucht ihr also vielleicht gar keine Einwilligung.

Ein weiterer Punkt ist die Vertragserfüllung (§5 Abs. 2 lit. c, DSO Bund). Wenn Personen sich zu einem bestimmten Angebot wie zum Beispiel dem Gemeindeunterricht anmelden, ist es ebenfalls nötig, mit ihnen zu kommunizieren, um den „Vertrag“ (= Durchführung des Gemeindeunterrichts) erfüllen zu können. Auch in diesem Fall könnt ihr z.B. eine Kontaktliste erstellen und die Personen kontaktieren.

In diesen Fällen müsst ihr natürlich trotzdem die betroffenen Personen über die Datenverarbeitung und ihre Rechte informieren. Wenn ihr die Daten von den Teilnehmenden „erhebt“, könnt ihr z.B. folgenden Text unterschreiben lassen (Bei Unter-16-Jährigen auch von Erziehungsberechtigten):

Wir verarbeiten deine Kontaktdaten, um dich über relevanten Informationen zur GRUPPENNAME informieren zu können. Rechtsgrundlage der Verarbeitung ist die Erfüllung unserer Aufgaben als GEMEINDENAME gemäß §5 Abs. 2 lit. d, DSO Bund.
(bzw. ggf. Rechtsgrundlage der Verarbeitung ist die Vertragserfüllung gemäß §5 Abs. 2 lit. c, DSO Bund.)

Wir löschen deine Kontaktdaten von der Teilnehmendenliste, innerhalb von ZEITRAUM nachdem du GRUPPENNAME verlässt.

Mehr Informationen z.B. zu deinen Rechten auf Auskunft über, Berichtigung und Löschung von deinen Daten, findest du in unserer Datenschutzerklärung auf URL. Auf Wunsch händigen wir sie dir auch in gedruckter Form aus.

Hinweise dazu

  • Die Verarbeitung müsst ihr in eurem Verfahrensverzeichnis dokumentieren.

  • Macht euch in jedem Fall Gedanken, wie ihr die Löschung der Daten umsetzen wollt. Wenn es eine Gruppe ist, aus der die TN zu einem bestimmten Zeitpunkt ausscheiden, z.B. Gemeindeunterricht, ist das einfach. Da kann man die Personen dann von der TN-Liste entfernen. Wenn es eine „offene“ Gruppe ist, wie z.B. eine Jugendgruppe, zu der sich niemand anmelden muss, könnte man z.B. sagen, dass die Gruppenleitung einmal im halben Jahr, die TN durchgeht und guckt, wer noch „dazugehört“.

  • Wenn jemand von der TN-Liste gestrichen wird, heißt das nicht automatisch, dass die Gemeinde, alle Daten von der Person löschen muss. Wenn es sich um „Gemeindekinder“, ist es sinnvoll, die Verarbeitung von personenbezogenen Daten einmal „allgemein“ zu regeln, damit es nicht Gruppe neu geregelt werden muss. Z.B. mit der Muster-Datenschutzeinwilligung, erhältlich auf der Seite des BEFG unter https://www.befg.de/angebote-fuer/gemeinden/datenschutz/ 

  • Außerdem solltet ihr klären, wer Zugang zu der TN Liste hat. Ist das neben dem Mitarbeitendenteam z.B. noch das Gemeindebüro, falls dort auch Listen für das Archiv geführt werden? Welche Daten werden dort ggf. behalten, ohne dass das Mitarbeitendenteam einer Gruppe das weiß? Diese Fragen müssten geklärt werden und dann ggf. die Information angepasst werden, bzw. ggf. auch eine Einwilligung eingeholt werden.)

Ihr könnt dann einfach folgenden Text zum Ankreuzen ergänzen:

Ich bin damit einverstanden, dass mein Name und meine Telefonnummer (WENN NÖTIG ERGÄNZEN) auf einer TEILNEHMENDENLISTE in elektronischer Form an die anderen Teilnehmenden von GRUPPENNAME weitergegeben werden.

Hinweis dazu

Es geht hier um Kontaktdaten, die ihr „offiziell“ als Veranstalter an die Teilnehmenden weitergebt. Welche Daten die Teilnehmenden freiwillig unter sich austauschen, darum müsst ihr euch nicht sorgen. – Mit ein bisschen Kreativität lassen sich mit diesem Wissen manche Probleme vlt. schon lösen. Wenn ihr z.B. das Gefühl habt, eure Gruppe vernetzt sich auch so gut untereinander, warum dann noch die offizielle TN-Liste an die Teilnehmenden  verteilen? – Habt dann aber auf jeden Fall auch die „Außenseiter*innen“ im Blick ...)

Fotos machen!

Ähnlich geht ihr vor, wenn ihr innerhalb eurer „Gruppenstunden“ Fotos macht. (Es geht wieder nur um Fotos, die von Mitarbeitenden „offiziell“ gemacht werden, bzw. um Fotos, die den Mitarbeitenden von Teilnehmenden zur Verfügung gestellt werden, und die veröffentlicht oder im „Gemeindearchiv“ gespeichert werden sollen).

Fotos zu machen und zu speichern ist schon eine Verarbeitung von personenbezogenen Daten, wenn Personen auf den Fotos erkennbar sind. Hier ist es am sichersten, mit einer Einwilligung zu arbeiten.

 Bei dieser Einwilligung müssen die betroffenen Personen darüber informiert werden, in welchem Rahmen Bilder von ihnen veröffentlicht werden. Unterscheiden sollte man hier zwischen dem Veröffentlichen der Fotos in einer Art und Weise, dass die Gemeinde alle Rechte daran behält, und in einer Art und Weise, dass einer dritten Partei Nutzungsrechte an den Bildern (oder sogar Videos) eingeräumt werden. Das ist z.B. bei allen sozialen Medien der Fall.

Um die Einwilligung zur Veröffentlichung von Fotos einzuholen könnt ihr z.B. folgenden Textbaustein ergänzen. (Die Punkte müssen einzeln ankreuzbar sein!)

  • Ich bin damit einverstanden, dass bei GRUPPENNAME Fotos von mir gemacht werden.

Ich bin ferner damit einverstanden, dass Fotos von mir für folgende Zwecke verarbeitet werden. (Zutreffendes bitte ankreuzen):

  • Zeigen bei „gemeindeinternen“ Veranstaltungen (z.B. Gottesdienste oder Gruppenstunden)
  • Veröffentlichen auf der Internetseite der GEMEINDE- UND/ODER GRUPPENNAME (URLS EINTRAGEN).
  • Veröffentlichen auf den Social-Media-Kanälen von GEMEINDE- UND/ODER GRUPPENNAME (URLS EINTRAGEN).
  • Weitergabe an die anderen Teilnehmenden von GRUPPENNAME in elektronischer Form.
  • Speichern für Archivzwecke der Gemeinde

Hinweis

Diese Punkte müssen getrennt bleiben, damit die Einwilligung für jeden Punkt gesondert gegeben, bzw. nicht gegeben werden kann.

Tipp für die praktische Umsetzung

Ihr könnt das Informations- und Einwilligungsblatt online zur Verfügung stellen, sodass es sich die Teilnehmenden zu Hause ausdrucken und unterschreiben (bzw. unterschreiben lassen) können und euch dann ein Foto davon per Mail zuschicken. 

Eine Vorlage mit den o.g. Formulierungen, um über die Datenverarbeitung zu informieren und die Einwilligung einzuholen, gibt es hier >>>

Bitte vor der Verwendung euren eigenen Gemeinde- und Gruppenname einfügen und ggf. die nicht zutreffenden Punkte löschen.