Tipps und Tricks zum Datenschutz

für die Arbeit mit Kindern und Jugendlichen im BEFG

Dass Datenschutz wichtig ist, haben wir oft gehört - und vielleicht fast genauso oft verdrängt. Denn oft bedeutet das zusätzliche Arbeit, von der ohnehin schon zu viel da ist. Und leider bedeutet Datenschutz meistens auch nicht die Art von Arbeit, die wir im Kopf hatten, als wir entschieden haben, im Bereich Kinder und Jugend zu arbeiten. Und in der Regel ist niemand da, der einem sagt, was genau eigentlich zu tun wäre. Geschweige denn, irgendwie dabei hilft. 

Trotzdem: In der gemeindlichen Arbeit mit Kindern und Jugendlichen ist Datenschutz besonders wichtig. Denn letztendlich schützen wir keine Daten, sondern Personen: Kinder und Jugendliche, die uns "anvertraut" werden und deren Grenzen wir achten wollen und ihnen helfen, sie selbst zu erkennen und zu schützen. 

Auf dieser Seite werdet ihr nicht alle Lösungen für eure Datenschutzprobleme finden. Aber wir möchten Erklärungen und Umsetzungstipps zu einzelnen Fragestellungen mit euch teilen, die wir bereits erarbeitet haben. Wir aktualisieren die Informationen nach bestem Wissen und ihm Rahmen des Möglichen. Die Tipps beziehen sich auf die DSO-Bund, die für verantwortliche Stellen im Bund Evangelisch-Freikirchlicher Gemeinden gilt.

Unsere Ausführungen sind KEINE Rechtsberatung. Wir können keine Garantie für die Vollständigkeit, Aktualität und Richtigkeit aller Punkte übernehmen. Trotzdem hoffen wir, dass ihr wertvolle Anregungen und Starthilfen findet, um den Schutz von personenbezogenen Daten in der Arbeit mit Kindern und Jugendlichen voranzubringen. 

Warum gilt die DSGVO für uns nicht?

Als die DSGVO in Kraft trat, gab es für Kirchen eine "Ausnahme": Wenn sie zum Zeitpunkt des Inkrafttretens der DSGVO umfassende Regeln zum den Schutz natürlicher Personen bei der Verarbeitung von Daten anwandten, so durften diese Regeln wweiter angewandt werden, sofern sie mit der DSGVO in Einklang gebracht wurden. 

Von dieser Möglichkeit hat der BEFG Gebrauch gemacht und seine bestehenden Vorschriften in Form der DSO Bund an die DSGVO angepasst. 

Vorteil der eigenen DSO Bund ist unter anderem, dass wir z.B. eine eigene „Aufsichtsbehörde“ haben (unser Datenschutzrat) und auch die Höhe der Bußgelder kann sich von der DSGVO unterscheiden. Der Nachteil ist, dass der Datenschutzrat lediglich die „BEFG-Angebote und -Einrichtungen“ im Blick haben muss. Die Aufsichtsbehörden, die für die DSGVO zuständig sind, müssen alle Unternehmen, Vereine, etc. im Blick haben, die es überhaupt gibt. Die entsprechenden Stellen haben nur relativ wenig Personal und viel mehr zu kontrollieren. Dass bei uns jemand hinguckt, ist also wesentlich wahrscheinlicher, weil unser Aufsichtsgremium ja nur den BEFG beaufsichtigt. (Das macht aber nichts, weil wir ja grundsätzlich Datenschutz wichtig finden und gerne umsetzen ;-)).

Warum und wozu braucht man eine Datenschutzerklärung?

Die DSO Bund verpflichtet uns, betroffene Personen darüber aufzuklären, wann, wie, wo, warum wir von wem Daten verarbeiten und welche Rechte die betroffenen Personen haben, etc. Das tun wir in der Regel über eine Datenschutzerklärung. Was genau da drinstehen muss, richtet sich nach dem, was wir tatsächlich an personenbezogenen Daten verarbeiten. Die Datenschutzerklärung muss entsprechend auf dem Laufenden gehalten werden. Für viele Punkte gibt es Vorlagen.

Auf der Seite des BEFG findet ihr z.B. diese Musterdatenschutzerklärung  Muster-Datenschutzerklärung gemäß DSO-Bund (Stand 14. Mai 2020, rtf-Format)

Ein praktischer Hinweis zur Datenschutzerklärung, der klingt wie ein schlechter Witz: Die sollte klar und nicht verwirrend sein. Das bedeutet zu Beispiel,  sie sollte nur Punkte abdecken, die auch tatsächlich zutreffen. Einfach alles drin zu haben, was man in irgendeiner Vorlage findet, nur um „ganz sicher zu gehen“, funktioniert nicht. Wenn man also z.B. gar keine Google-Maps-Karten einsetzt, gehört der entsprechende Absatz auch nicht in die Datenschutzerklärung. 

Wo kriegen wir eine Datenschutzerklärung her?

Auf der Seite des BEFG (www.baptisten.de/datenschutz) gibt es eine Musterdatenschutzerklärung. (Checkt am besten dort, ob inzwischen eine neuere Version als die hier verlinkte vorhanden ist.)

Ausgehend von der Vorlage können verantwortliche Stellen des BEFG ihre eigene Datenschutzerklärung bauen, indem die Namen und Daten in der Vorlage angepasst werden. Außerdem müssen nicht zutreffende Punkte entfernt werden. Über Datenverarbeitung, die über die Vorlage hinausgeht, muss natürlich auch aufgeklärt werden. Für diese Fälle ist jeweils ein entsprechender Abschnitt hinzuzufügen. 

Für einige Tools findet ihr weiter unten entsprechende Formulierungen, die ihr anpassen und eurer Datenschutzerklärung hinzufügen könnt. 

Warum ändert die sich die Datenschutzerklärung manchmal?

Die Datenschutzerklärung kann sich ändern, weil der BEFG auf der Bundesratstagung Änderungen an der Datenschutzordnung beschließt. Oder weil ihr ein neues Angebot macht, dass da aufgenommen werden muss. Oder es ändert sich einfach nur eine verantwortliche Person oder Ansprechperson bei euch in der Gemeinde oder im Gemeindejugendwerk etc.

Warum kann die Datenschutzerklärung nicht zentral gemacht werden?

Eigentlich wäre es leichter, die Datenschutzsachen zentral zu regeln, so dass z.B. alle Gemeinden oder GJWs dieselbe Datenschutzerklärung haben könnten.

In der DSO Bund (und auch in der DSGVO, der wir entsprechen müssen) gibt es die sogenannte „verantwortliche Stelle“. Eine verantwortliche Stelle im Sinne der DSO-Bund ist „eine Stelle des Bundes, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Und das sind die einzelnen Gemeinden, GJWs, etc. (Z.B. entscheidet ihr, dass ihr Fotos auf euer Webseite veröffentlicht, Teilnehmendenlisten erstellt und an Freizeitleitende weitergebt oder wer Zugang zu eurer Datenbank hat, etc.). Jede verantwortliche Stelle muss über die Datenverarbeitung aufklären, die sie verantwortet. 

Daher müssen alle Gemeinden und GJWs eine eigene Datenschutzerklärung haben, in der dann die Namen der entsprechenden Verantwortlichen stehen, und die für die Angebote der entsprechenden verantwortlichen Stelle gilt. 

D. h. wir kommen nicht drum herum, dass wir hin und wieder checken, ob die Datenschutzerklärung noch aktuell ist. Es empfiehlt sich, dafür eine verantwortliche Person zu bestimmen, damit das nicht versehentlich durchrutscht, weil niemand dran gedacht hat.

Warum gehören Impressum und Datenschutz praktisch manchmal zusammen?

In §5 Abs.1 des Telemediengesetztes steht, dass das Impressum 

  • leicht erkennbar,
  • unmittelbar erreichbar und
  • ständig verfügbar sein muss.

Was genau das in der Praxis bedeutet, dafür gibt es inzwischen viele Urteile.

Für die Datenschutzerklärung gibt es die noch nicht, da gibt es nur die Aussage, dass das analog zum Impressum zu handhaben ist. Also z.B., dass es auch eine eigenständige Rubrik auf einer Webseite sein muss, etc...

Praktisch wendet man also die Regeln, die für das Impressum gelten, auch für die Datenschutzerklärung an.

Was ist ein Impressum?

Ein Impressum gibt im Wesentlichen an, wer für die Inhalte einer Veröffentlichung verantwortlich ist und wie man die/den erreichen kann.

Wer braucht ein Impressum?

Interessant ist diese Frage für die meisten von uns im Hinblick auf „das Internet“. Hier greift das Telemediengesetzt und das besagt, dass man ein Impressum braucht, wenn man das „Angebot“ „geschäftsmäßig“ nutzt. Obwohl wir eine Kirche sind, tun wir das. Jugendfreizeiten kosten z.B. Geld etc.

Ausgenommen von der Impressumspflicht sind nur rein private Angebote wie z.B. ein persönlicher Blog. Aber schon in dem Moment, wenn man darauf ein Werbebanner hat oder über Google Werbung schaltet, braucht man ein Impressum. (Link zum Weiterlesen: https://dejure.org/gesetze/TMG/5.html)

Wofür brauchen wir ein Impressum?

Wir brauchen ein Impressum für unsere Internetseiten und für unsere Social-Media-Auftritte. Also z.B. Facebook, Instagram, Twitter und YouTube. 

Und, leider, leider, betrifft das auch Facebook-Veranstaltungen. Die werden eher als eigene „Webseite“ gesehen als ein statischer Kalendereintrag. (Falls jemand von einem Urteil hört, dass das anders beurteilt, meldet das bitte sofort an mthiele@baptisten.de, damit wir alle informieren können, dass das nicht mehr nötig ist).

Mehr Infos zum Weiterlesen: https://allfacebook.de/policy/whitepaper-faq-zur-impressumspflicht-datenschutzerklaerung-und-disclaimer-bei-facebook

Konkrete Umsetzung - Allgemeine Hinweise

Es hat sich durch Urteile herauskristallisiert, was leicht erkennbar, unmittelbar erreichbar und ständig verfügbar bedeuten. (Die Urteile beziehen sich auf die Impressumspflicht; wir wenden sie analog für die Datenschutzerklärung an. S.o.)

Ständig verfügbar ist einfach. Es heißt genau das.

Unmittelbar erreichbar: Da orientieren sich viele an der Rechtsprechung des OLG München, dass das Impressum schnell auffindbar sein muss, und daher auf jeder Seite gut sichtbar, bzw. verlinkt sein sollte. Laut einer Entscheidung des BGH kann es auch ausreichen, wenn das Impressum mit zwei Klicks erreichbar ist (https://medien-internet-und-recht.de/volltext.php?mir_dok_id=405). Obwohl das Urteil einen Einzelfall betrifft und nicht pauschal übertragbar ist, berufen wir uns insbesondere bei Instagram darauf, so lange dort nur ein Link möglich ist (siehe weiter unten). Sollte Instagram mal zwei Links ermöglichen, müssen wir die Situation ggf. neu bewerten. 

Leicht erkennbar: Der Begriff „Impressum“ sollte vorkommen. Sowas wie „Info“ reicht nicht. Besonders relevant ist das, wenn wir das Impressum nicht an Ort und Stelle haben, sondern auf das Impressum auf unseren Webseiten verlinken. (Das hat den Vorteil, dass wir das Impressum - und die Datenschutzerklärung - nur an einer Stelle aktuell halten müssen...). In diesem Fall muss man den Link z.B. mit „Hier geht’s zum Impressum“ einleiten, es reicht aber auch, wenn man einen "sprechenden Link" hat, der das Wort enthält, also z.B. www.gjw.de/impressum.
Leicht erkennbar bedeutet auch, dass klar sein muss, wofür das Impressum gilt. Das ist ebenfalls dann relevant, wenn man das Impressum verlinkt. Wenn z.B. von der Seite www.buju.de zum Impressum auf der GJW-Seite verlinkt wird, heißt die eine Seite buju.de, die andere gjw.de. Da ist erstmal nicht ersichtlich, dass beides zusammengehört. Daher muss beim Impressum der Name aller Angebote angegeben sein, für die es gilt. Also z.B. „Dieses Impressum gilt auch für www.buju.de“ 

Konkrete Umsetzung: Facebook

Bei Facebook-Pages gibt es Felder für Impressum und Datenschutz, wo man Text oder Links einfügen kann. Wir müssen dafür zu sorgen, dass es bei allen mobilen Ansichten und App-Versionen funktioniert. Darum ist ein sprechender Link in der Beschreibung ein gutes Backup. Denn nicht immer funktioniert die Impressums-Rubrik bei den App-Updates. (Zumindest gab es da in der Vergangenheit immer mal Probleme...)

Für Facebook-Veranstaltungen gibt es die Felder leider nicht. Da muss dann tatsächlich ganz oben in der Beschreibung (ganz oben, weil man diesen Teil immer angezeigt bekommt) stehen: „Impressum“ und „Datenschutz“: [Link zum Impressum und zur Datenschutzerklärung]. Das ist besonders unangenehm, weil wir den Namen von jeder Facebook-Veranstaltung dann auch noch im Impressum auflisten müssen. Und wenn wir die Veranstaltung löschen, ebenfalls wieder löschen...

Zum Thema Datenschutz gibt es hier übrigens eine gute Nachricht: Der Datenschutzrat findet es nicht sinnvoll, dass man jedes Facebook-Event auch in der Datenschutzerklärung auflistet. Hier reicht also der Hinweis bei der Datenschutzerklärung „Diese Datenschutzerklärung gilt auch für die von [Name der verantwortlichen Stelle] erstellten Facebook-Events“.

Konkrete Umsetzung: Instagram

Dasselbe wie für Facebook (s.o.) gilt auch für Instagram.

ERGÄNZUNG / UPDATE VOM 25. April 2023

Instagram bietet inzwischen die Möglichkeit, mehrere Links in der Bio einzufügen. D.h. ihr könnt dort direkt Links zu eurer Datenschutzerklärung, eurem Impressum und den weiteren inhaltlichen Links zu euren Posts platzieren und müsst dies nicht mehr zwangsläufig auf einer Landingpage machen. (Die „Linkliste“ in der Bio ersetzt gewissermaßen die externe Landingpage --> die Methode mit der Landongpage wird weiter unten beschrieben).

Die geltenden Regelungen, dass Impressum und Datenschutzerklärung leicht erkennbar (=explizit als „Impressum“ und „Datenschutzerklärung“ benannt) und unmittelbar erreichbar (= maximal zwei Klicks) sein müssen, gelten weiterhin.

Sind mehr als ein Link in der Bio, öffnet sich beim Klick/Tap auf den ersten Link die Linkliste. Von dort müssen dann jeweils ein Link direkt zur Datenschutzerklärung und zum Impressum führen – der „Umweg“ über eine Landingpage funktioniert nicht mehr, weil es dann drei Klicks/Taps bräuchte. Da die Linkliste erst angezeigt wird, wenn man an die Stelle in der Bio klickt/tapt, muss im Bio-Text weiterhin ein Satz stehen wie „Unsere Datenschutzerklärung, unser Impressum und weitere Infos zu unseren Posts, findet ihr in der Linksliste“, damit wir das „leicht erkennbar“ erfüllen. (In der Linkliste sollten die Links dann natürlich auch entsprechend benannt werden – das lässt sich bei Instagram aber leicht eingeben.)

----

In der Vergangenheit war es so, dass man bei Instagram genau einen klickbaren Link anbringen konnte. Da wollte man natürlich eigentlich gerne die eigene Webseite verlinken oder einen schönen „Link-in-Bio-Link“, der zu mehr Informationen zu einem aktuellen Post führt. Das ging aber nicht. Denn da muss der Link zum Impressum hin. Und weil dasselbe auch für die Datenschutzerklärung gilt (s.o.), muss da auch der Link zur Datenschutzerklärung hin. Wir hatten also einen Link, wo wir eigentlich zwei brauchen. .

Wenn man ganz clever ist, könnte man sagen, dass man mit dem ersten Klick zur eigenen Webseite kommt und von dort mit dem zweiten Klick zur Datenschutzerklärung und zum Impressum. Leider ist das dann nicht mehr „leicht erkennbar“. 

Der Ansatz ist aber gut: Wir brauchen eine Landingpage, auf der oben prominent Impressum und Datenschutz stehen, bei der aber noch Platz ist für weitere Links, z.B. um mehr über eure Instagram-Posts zu erfahren oder sich zu euren Events anzumelden. 

Ein Anbieter, der solche Landingpages anbietet und der gerne verwendet wird, ist Linktree. Die sitzen aber in den USA und es ist aus Datenschutzsicht nicht empfehlenswert, die zu verwenden.

Landingpages lassen sich aber problemlos im eigenen Internetauftritt erstellen. Ihr müsst lediglich eine Seite bauen, auf der ihr untereinander verschiedenen Links platziert. Die obersten beiden MÜSSEN die Links zu eurem Impressum und eurer Datenschutzerklärung sein. Darunter könnt ihr dann weitere Links einfügen, die auf Seiten mit mehr Informationen zu euren Instagram-Posts führen. Dann richtet ihr für diese Seite eine schönen "sprechende" URL ein (z.B. www.gemeindename.de/impressum_datenschutz_mehr) und bring den bei Instagram folgendermaßen aus:
"Unser Impressum, unsere Datenschutzerklärung und mehr Infos zu unseren Posts findet ihr hier: www.gemeindename.de/impressum_datenschutz_mehr"

(Sprecht für das Einrichten der Landingpage am besten mit der Person, die die Internetseite eurer Gemeinde oder eures GJWs betreut.)

HINWEIS FÜR GJWs

Wir können Landingpages mit dem HTML-Element in Typo3 bauen. Inzwischen sollte für alle GJWs der Link nach dem Muster www.gjw-[Name].de/impressum_datenschutz_mehr funktionieren, den ihr bei Instagram einfügen könnt. Bitte prüft vorher, ob der Impressumslink und der Link zur Datenschutzerklärung auch tatsächlich zu EUREM Impressum und zu EURER Datenschutzerklärung führen.

Wenn das nicht klappt, oder ihr wissen möchtet, wie ihr die Links auf der Seite im HTML-Element anpasst, meldet euch bei Mirko unter mthiele@baptisten.de .

Ihr könnt in Instagram den Link folgendermaßen ausbringen:
Unser Impressum, unsere Datenschutzerklärung und mehr Infos zu unseren Posts findet ihr hier: www.gjw-name.de/impressum_datenschutz_mehr

Die folgende Seite sieht dann so wie im Bild, wobei Impressum und Datenschutzerklärung verpflichtend oben stehen und zu eurem Impressum und Datenschutzerklärung führen. Die Links darunter könnt ihr frei wählen und benennen.

Konkrete Umsetzung: Zoom

Auch bei Zoom muss auf die DSO-Bund-konforme Nutzung geachtet werden. Am 14. Mai 2020 hat der Datenschutzbeauftragter des BEFG ein Schreiben veröffentlicht, in dem erklärt wird, unter welchen Voraussetzungen Zoom genutzt werden darf: https://www.befg.de/fileadmin/bgs/media/dokumente/Stellungnahme-Zoom_2020-05-14_Immo-Radtke.pdf )

Die wichtigsten Punkte aus dem Schreiben (und aus der DSO Bund) sind:

1. Alternativen prüfen:
Wenn es europäische Alternativen gibt, die in Frage kommen, sollen wir die nehmen. Wenn ihr ein Online-Meeting mit 50 Leuten machen möchtet, gibt es zurzeit keine gute Alternative. Dann kann die Nutzung von Zoom gerechtfertigt sein.
Wenn ihr aber eine Teambesprechung mit fünf oder sechs Leuten macht, gibt es sehr wohl europäische Lösungen, die das problemlos leisten können. Der AK Internet bietet zum Beispiel  BigBlueButton an, das für solche Treffen gut funktioniert. Die Daten bleiben dabei komplett auf "unsereren" Servern. Es kostet für BEFG-Gemeinden „nichts“. Es wird aber um Spenden gebeten, damit die Server bezahlt werden können. (Wenn ihr das System nutzt, schreibt dem AK Internet gerne mal ein nettes Dankeschön. Die machen das ehrenamtlich und leisten eine ziemlich coole Arbeit!)

2. Informieren:
Über die Datenverarbeitung von Zoom muss aufgeklärt werden. Das geschieht „zweistufig“. Zum einen über die Datenschutzerklärung. Wenn wir Zoom einsetzen, muss ein entsprechender Abschnitt in den Datenschutzerklärungen ergänzt werden. (Eine Vorlage dafür gibt es hier.)
Zum anderen darüber, dass im Kontext der Zoom-Veranstaltung explizit auf diese Datenschutzerklärung (bzw. gerne auch den genauen Abschnitt) hingewiesen wird. Zum Beispiel in der E-Mail, mit der der Zoomlink verschickt wird, oder auf Webseite auf der der Zoomlink steht. Dann wissen die Teilnehmenden direkt, wo sie nachlesen können, was mit ihren Daten passiert. 

Bei Zoom gibt es die Möglichkeit, einen individuellen Textbaustein in die automatisch generierten „Einladungen“ zu integrieren. ( --> Persönlicher Bereich --> Einstellungen --> Sonstiges  --> Einladungs-E-Mail. Dort kann dann folgender Text eingetragen werden: Unsere Datenschutzerklärung ist einzusehen unter [HIER DIE URL DER  DATENSCHUTZERKLÄRUNG EINTRAGEN]

Wenn man den Zoomlink auf einer (internen) Webseite veröffentlicht, muss die URL einfach händisch ergänzt werden.

Außerdem bietet Zoom die Möglichkeit, direkt vor Betreten eines Zoomraumes nochmal ein Popup-Fenster einzublenden, das bestätigt werden muss, bevor man teilnehmen kann. ( --> Adminbereich --> Kontoeinstellungen --> Meeting --> In Meeting (Erweitert) --> Rechtehinweis aufrufen, wenn sie ein Meeting beginnen oder einem beitreten. Hier könnt ihr ihr Folgendes einstellen:

  • Für interne und externe Teilnehmende anzeigen
  • Den gleichen Haftungsausschluss für interne und externe Teilnehmende anzeigen (JA)
  • Frequenz: Jedes Mal
  • Sprache: Deutsch

Dann auf „Weiter“ klicken und den Hinweis eintragen. Z.B.:

Datenschutzhinweis
Mit der Teilnahme am Meeting erkläre ich mich mit der Datenschutzerklärung von [verantwortliche Stelle] (insb. Abs [Hier den Absatz angeben]), einzusehen unter [HIER DIE URL DER DATENSCHUTZERKLÄRUNG ANGEBEN], einverstanden.
Ich bestätige außerdem, dass ich über 16 Jahre alt bin, bzw. der [verantwortliche Stelle] eine Einverständniserklärung einer erziehungsberechtigten Person für diese Zoom-Veranstaltung vorgelegt habe.

3. Elternerklärung:
Wenn Teilnehmende unter 16 Jahren an der Zoom-Veranstaltung teilnehmen sollen, wird von ihnen eine Elternerklärung benötigt, dass sie an dem spezifischen Online-Meeting teilnehmen dürfen. Eine Vorlage dafür gibt es hier mit GJW-Bezug und ohne GJW-Bezug. (Das ergibt sich nicht aus dem Schreiben vom 14. Mail 2020, sondern §6 Abs. 4,5 der DSO Bund). Momentan ist die Lösung dafür noch etwas umständlich: Die Elternerklärung wird im Zuge der Anmeldung zum Download zur Verfügung gestellt, von den Teilnehmenden ausgedruckt, von deren Erziehungsberechtigten unterschrieben, abfotografiert und an den Veranstalter (z.B. die Gemeinde oder das GJW) gemailt. Erst dann dürfen der Person unter 16 Jahren die Zugangsdaten für die Zoom-Veranstaltung mitgeteilt werden.

Hinweis für GJWs:

Weil das Ausdrucken, Fotografieren und Zurückschicken für die Teilnehmenden aufwendig ist und das manuelle Zusenden der Links für die Sachbearbeitung in den GJW Geschäftsstellen, haben wir einen Workflow entwickelt, mit dem die Einwillgung der Erziehungsberechtigten über ein Double-Opt-In-Verahren eingeholt werden kann. Das muss leider für jede Veranstaltung recht aufwendig eingerichtet werden und lohnt sich daher erst, wenn wir zu einer Zoomveranstaltung eine große Zahl Unter-16-Jähriger erwarten. Wenn das in eurem GJW mal der Fall sein sollte, wendet euch an Mirko Thiele.

4. AV-Vertrag:
Ihr müsst mit Zoom einen AV-Vertrag abschließen. Das ist „automatisch“ der Fall, wenn ihr euer Zoom-Konto nach dem 8.4.2020 eingerichtet und dabei die Nutzungsbedingungen akzeptiert habt. (Näheres dazu im Schreiben des Datenschutzbeauftragten vom 14. Mai 2020).

5. Kontoinhaber:
Nutzt keine privaten Zoomkonten. Der Inhaber des Zoom-Accounts muss die verantwortliche Stelle oder eine andere Stelle des Bundes sein.

6. Sonstiges:
Des weiteren sind die im Schreiben vom 14. Mai 2020 unter „V. Handlungsempfehlungen für verantwortliche Stellen“ aufgeführten Hinweise zu den Zoom-Einstellungen vom Aufmerksamkeitstracking und Datenverkehr innerhalb Europas, zu beachten und in den in Zoom-Einstellungen umzusetzen. 

Zusammenfassung:
Wir nutzen Zoom nur, wenn wir keine Alternative haben, die das kann, was wir brauchen. Und wenn wir Zoom nutzen, informieren wir die Leute, was dabei mit ihren Daten passiert. Wenn sie unter 16 sind, fragen wir auch deren Eltern, ob das ok ist.

Dürfen wir bei unseren Veranstaltungen Zoom-Accounts von anderen Gemeinden oder GJWs nutzen?

Manchmal kommt es vor, dass bei einer größeren Online-Veranstaltung mehr als ein Zoom-Account benötigt wird. Zum Beispiel, weil gleichzeitig mehrere Online-Workshops stattfinden sollen. Da fragt man oft schnell eine befreundete Gemeinde oder ein befreundetes GJW, ob sie mit ihrem Zoom-Account einen Workshop „übernehmen“ können.

Das „Problem“ dabei ist, dass Personen, die an eurer Veranstaltung teilnehmen und die eurer Datenschutzerklärung zugestimmt haben, nicht davon ausgehen können und auch nicht damit rechnen müssen, dass an dieser Veranstaltung „Dritte“ beteiligt sind, die auch Daten verarbeiten.

Ihr müsst sicherstellen, dass die Personen darüber informiert sind und auch den Datenschutzbestimmungen der „Dritten“ (also der Gemeinden, die euch mit dem Zoom-Account aushelfen) zustimmen.

Das klingt kompliziert, ist im Grund aber schnell und einfach erledigt. Macht dazu folgende zwei Dinge:

1. Ergänzt in der Infomail (oder auf der Webseite), mit der ihr den Teilnehmenden den Zoomlink oder sonstige Zugangsdaten zu eurer Veranstaltung zukommen lasst, den Hinweis, von welchen „Dritten“ noch Zoom-Accounts verwendet werden. Weist außerdem darauf hin, dass die Datenschutzerklärung des jeweiligen „Dritten“ in einem Popup-Fenster vor Betreten des Zoomraums verlinkt ist und bestätigt werden muss.--> Dadurch stellt ihr sicher, dass die Teilnehmenden über einen Sachverhalt informiert werden, mit dem sie nicht unbedingt rechnen können.

Beispiel für die Formulierung:
„Für [hier eintragen: Z.B. die Workshops im Rahmen von EVENTNAME] nutzen wir Zoom-Accounts von Gemeinde X, Gemeinde Y und Gemeinde Z. Die Datenschutzerklärung der jeweiligen Gemeinde ist in dem Popup-Fenster vor Betreten des Zoom-Raums verlinkt und muss vor der Teilnahme durch Klicken bestätigt werden.“

2. Ihr müsst sicherstellen, dass bei dem Zoom-Accounts der beteiligten „Dritten“ das Popup-Fenster mit der verlinkten Datenschutzerklärung aktiviert und korrekt eingestellt ist und darin auch der Umgang mit Zoom geregelt ist.

--> Dadurch haben die Teilnehmenden die Möglichkeit, sich über die Datenschutzregelungen der „Dritten“ zu informieren und ihnen zuzustimmen, bevor sie den Zoomraum betreten.

(Stand: 29.04.2021)

Konkrete Umsetzung: Conceptboard

Conceptboard ist ein Tool zur Online-Zusammenarbeit (wie Miro oder Mural), das DSO-Bund-konform genutzt werden kann. Conceptboard lässt sich so einstellen, dass die Daten der Nutzer ausschließlich auf Servern in der EU verarbeitet werden.

Wenn ihr Conceptboard nutzt, müsst ihr natürlich auch über die Verarbeitung von personenbezogenen Daten durch Conceptboard aufklären. Das könnt ihr wie gewohnt über eure Datenschutzerklärung tun, auf die ihr dann verweist. 

Die Formulierung in der Datenschutzerklärung könnte dann so lauten:

Für Visualisierungszwecke, z.B. von Online-Meetings, nutzen wir Conceptboard. Conceptboard ist ein Angebot der Conceptboard Cloud Service GmbH, Mansfelder Str. 56, 06108 Halle (Saale).

Um sich an einem Board zu beteiligen, ist keine Registrierung nötig. Bei der Nutzung können folgende personenbezogene Daten erfasst werden:

  • die Adresse und Name der abgerufenen Webseiten und Dateien
  • Datum und Uhrzeit des Abrufs
  • übertragene Datenmengen
  • Meldung über erfolgreichen Abruf
  • Browsertyp nebst Version
  • das Betriebssystem des Nutzers
  • Referrer URL (die zuvor besuchte Seite)
  • IP-Adressen
  • der anfragende Provider.

Die Datenverarbeitung bei Conceptboard erfolgt zur Erbringung der vertraglichen Leistung, zu Serviceleistungen und zur Bereitstellung eines sicheren und nutzerfreundlichen Onlineangebots. Die Rechtsgrundlage für die Verarbeitung ist das berechtigte Interesse nach Art. 6 Abs. 1 S. 1 lit. f. DSGVO. Die Löschfrist beträgt 28 Tage.

Darüber hinaus werden die Daten gespeichert, die von den Nutzern auf dem Board eingegeben und hochgeladen werden. Diese Daten werden gelöscht, wenn der „Besitzer“ des Boards das Board löscht.

Es besteht auch die Möglichkeit, ein Nutzerkonto einzurichten. Im Rahmen der Registrierung werden den Nutzern die erforderlichen Pflichtangaben mitgeteilt und zu Zwecken der Bereitstellung des Nutzerkontos auf Grundlage vertraglicher Pflichterfüllung verarbeitet. Zu den verarbeiteten Daten gehören insbesondere die Login-Informationen (Name, Passwort sowie eine E-Mail-Adresse).

Wenn Nutzer ihr Nutzerkonto gekündigt haben, werden deren Daten im Hinblick auf das Nutzerkonto, vorbehaltlich einer gesetzlichen Aufbewahrungspflicht, gelöscht. Gegebenenfalls können Inhaltsdaten im Rahmen der Nutzerzusammenarbeit hiervon ausgenommen sein. Dies richtet sich nach dem „Besitzer“ der Boards, auf denen der Nutzer sich beteiligt hat: Beiträge, die z. B. auf einem „fremden“ Board verfasst wurden, werden dann weiterhin als von einem „gelöschten Nutzer“ angezeigt.

Für seine Online-Dienste und Webhosting nutzt Conceptboard folgende Dienstleister:

  • SiteGround Spain S.L., Calle de Prim 19, 28004 Madrid, Spanien
  • Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855; Luxembourg

Die vollständige Datenschutzerklärung von Conceptboard ist nachzulesen unter  https://conceptboard.com/de/privacy/

Stand: 06.05.2021

Konkrete Umsetzung: Terminabfragen à la Doodle

Da uns das häufig verwendete Tool Doodle aus Datenschutzgründen nicht erlaubt ist, haben verantwortliche Stellen des BEFG (das sind zum Beispiel alle Gemeinden und GJWs) die Möglichkeit, das Umfragetool des AK Internet zu nutzen, um gemeinsame Termine zu finden. Ihr findet es unter https://umfrage.ak-internet.de

Wenn ihr es nutzt, ergänzt einfach folgenden Text an entsprechender Stelle in eure Datenschutzerklärung: 

„Umfragen“ vom AK Internet

Wir nutzen das Umfragetool des AK Internet des BEFG für Abstimmungen, insbesondere für das Finden von Terminen. Das Tool wird auf das Webservern des BEFG in Deutschland betrieben. 

Eine Abstimmung wird von einer Person („einladende Person“) erstellt. Die einladende Person gibt anderen Personen über die Bekanntgabe eines Links die Möglichkeit, sich an der Abstimmung zu beteiligen und je nach Einstellung ggf. auch den jeweils aktuellen Stand abzurufen. 

Der Link wird zum Schutz gegen eine unbefugte Kenntnisnahme als URL mit zufälliger Zahlen- und Zeichenkombination generiert. Der Zugriff auf eine Abstimmung kann zusätzlich über ein Passwort geschützt werden. Das Passwort wird verschlüsselt gespeichert und kann über die Benutzeroberfläche der einladenden Person jederzeit geändert werden. 

Folgende Daten werden durch das Tool erfasst:

  • Name der einladenden Person
  • E-Mail-Adresse der einladenden Person
  • Name oder Pseudonym der teilnehmenden Personen (freiwillige Angabe)
  • Eingaben der teilnehmenden Personen

Die erstellten Umfragen werden samt allen zu dieser Umfrage erfassten Daten 90 Tage nach dem letzten Voting automatisch archiviert und nach weiteren 14 Tagen gelöscht. 

(Stand: 5.9.2022)

Kurzfristige Nutzung von „neuen“ Tools ohne Aufnahme in die Datenschutzerklärung

Wenn wir für unsere Arbeit Tools einsetzen, bei denen personenbezogene Daten verarbeitet werden, müssen wir die Nutzer vorher darüber aufklären, welche Daten wie verarbeitet werden. Ein Beispiel ist z.B. die Nutzung von Zoom.

In der Regel klären wir darüber in der Datenschutzerklärung auf. Das ist meistens sinnvoll, weil wir sehr einfach darauf verweisen können. Z.B. kann der Link zur Datenschutzerklärung mit dem Zoomlink verschickt werden. (Im konkreten Beispiel Zoom kann inzwischen sogar vor Betreten des Raums noch ein Popup vorgeschaltet werden, in dem man bestätigen muss, dass man mit der Datenschutzerklärung einverstanden ist.)

Wenn sich die Datenschutzerklärung ändert, müssen wir das laut DSO Bund sechs Wochen vorher bekanntgeben, also die Änderungen auf der Seite mit der Datenschutzerklärung ankündigen.

In der Praxis kann es vorkommen, dass wir externe Referentinnen und Referenten zu Gast haben, die ein Tool einsetzen möchten, das nicht in unserer Datenschutzerklärung enthalten ist, sie es uns aber weniger als sechs Wochen vor der "Veranstaltung" mitteilen, sodass wir keine Möglichkeit mehr haben, das rechtzeitig in die Datenschutzerklärung aufzunehmen.

Die Nutzung des Tools ist damit aber nicht grundsätzlich ausgeschlossen. Natürlich muss zunächst geprüft werden, ob das Tool DSO Bund konform genutzt werden kann. Wenn ja, kann es benutzt werden, es muss aber über die Datenverarbeitung durch dieses Tool aufgeklärt werden. – Dies muss nicht zwangsläufig durch die Datenschutzerklärung geschehen. In diesem Fall kann die Aufklärung auch direkt vor der Nutzung erfolgen und dokumentiert werden. (Achtung bei unter 16-Jährigen wg. Einverständniserklärung). 

Es empfiehlt sich, bei der Anfrage an externe Referenten rechtzeitig abzufragen, ob und welche Tools sie nutzen wollen, damit noch genug Zeit für die Datenschutzprüfung bleibt.

Falls so ein Fall bei euch vorkommt, ist es sinnvoll, im Vorfeld zu dokumentieren, wie die Aufklärung über die Datenverarbeitung durch das Tool erfolgt. Falls eine Anfrage vom Datenschutzrat kommt, ist es immer hilfreich, wenn der sieht, dass solche Fälle in dem Veranstaltungskonzept mit bedacht und die Mitarbeitenden entsprechend informiert wurden.

Elternerklärung für Unter-16-Jährige

Wenn ihr datenschutzrelevante Tools wie z.B. Zoom benutzt, müssen Teilnehmenden unter 16 Jahren vorher eine ausgefüllte und unterschriebene Elternerklärung vorlegen, bzw. ein Foto davon schicken. Das hier ist eine Vorlage dafür. Es gibt sie einmal mit GJW-Bezug für alle Landes-GJWs und einmal ohne, für alle anderen verantwortlichen Stellen des BEFG (z.B. Gemeinden)

Elternerklärung Datenschutz U16 Vorlage mit GJW-Bezug

Elternerklärung Datenschutz U16 Vorlage ohne GJW-Bezug

Diesen Workflow müsst ihr immer dann "vorhalten", wenn ihr Zoom-Veranstaltungen macht, die sich auch an unter 16 Jährige richten. 

Verpflichtungserklärung für Ehrenamtliche

Wenn Ehrenamtliche Zugang zu personenbezogenen Daten haben, müssen sie sich auf das Datengeheimnis verpflichten. Zugang zu personenbezogenen Daten kann z.B. bedeutet, dass sie auf Jugendfreizeiten Teilnehmendenlisten einsehen können, dass sie an eurer Internetseite, euren Social-Media-Accounts oder eurer Adressdatenbank arbeiten oder dass sie Fotos und Videos auf Veranstaltungen machen.

Die Vorlage enthält neben der Verpflichtungserklärung auch ein Merkblatt, das den Ehrenamtlichen ausführlich erklärt, was das alles bedeutet und warum es nötig ist. 


Merkblatt und Verpflichtungserklärung für Ehrenamtliche in den Landes GJWs

Merkblatt und Verpflichtungserklärung für Ehrenamtliche in Gemeinden (Blanco-Vorlage)

Verfahrensverzeichnis

Die DSO Bund verpflichtet alle verantwortlichen Stellen, ein Verzeichnis über alle Verarbeitungstätigkeiten (von personenbezogenen Daten) zu führen. (Eine Ausnahme, wann so ein Verzeichnis nicht zu führen ist, findet sich in §20 Abs 5, DSO Bund. - Die wird aber für GJWs und Gemeinden nicht zutreffen, da die Datenverarbeitung dort nicht nur gelegentlich erfolgt.)

Im Verfahrensverzeichnis muss genau aufgeführt werden, wie die Datenverarbeitung bei den einzelnen Prozessen aussieht. Also z.B. wer erfasst welche Daten, zu welchem Zweck auf welcher Rechtsgrundlage, wer hat alles Einsicht in die Daten und an wen werden die ggf. weitergegeben. Wie lange werden sie gespeichert und handelt es sich um besonders sensible Daten, etc.

Das Verfahrensverzeichnis zu erstellen ist einmalig aufwendig, aber es kann dann für neue Prozesse schnell angepasst werden.

Das Verzeichnis zu führen ist außerdem unglaublich hilfreich, um ein Gefühl dafür zu bekommen, wo überall personenbezogene Daten verarbeitet werden und wer alles Zugriff darauf hat. Dabei erkennt man sehr schnell einfache Möglichkeiten zur Datensparsamkeit und -sicherheit. 

Wenn eine Prüfung des Datenschutzrates ansteht, ist das Verfahrensverzeichnis vermutlich das erste Dokument, das sie sich vorlegen lassen. 

Ein Muster für ein Verfahrensverzeichnis findet ihr hier

Ist Datenschutz auch "innerhalb" der Gemeinde nötig?

Ja. Auch/Gerade die Daten von Gemeindemitgliedern und -freunden werden geschützt und nicht einfach so verarbeitet. (Eine Verarbeitung ist z.B. auch das Erstellen eines Gemeindeverzeichnisses.)

Die Verarbeitung darf nur geschehen, wenn es einen rechtmäßigen Grund für die Verarbeitung gibt*. Ein solcher Grund kann z.B. die Erfüllung kirchlicher Aufgaben sein (§5, Abs 2 lit. c, DSO-Bund). Daten könnten aber auch verarbeitet werden, wenn das zur Förderung des Gemeindezwecks erforderlich ist und keine Anhaltspunkte vorliegen, dass die betroffene Person ein schutzwürdiges Interesse hat, das das Interesse der Verarbeitung überwiegt (§5 Abs. 2 lit. g,h, DSO-Bund).

Darüber hinaus dürfen personenbezogene Daten nur verarbeitet werden, wenn die betroffene Person ihr Einverständnis dazu gegeben hat (§5 Abs. 2 lit. b, DSO-Bund). Um das im Gemeindealltag praktikabel zu gestalten, empfiehlt es sich, von allen Gemeindemitgliedern und -freunden einmalig eine Einverständniserklärung ausfüllen zu lassen, bzw. bei unter 16-Jährigen von deren Erziehungsberechtigten. 

Der Datenschutzbeauftragte des BEFG stellt auf der Seite des BEFG (https://www.befg.de/angebote-fuer/gemeinden/datenschutz/) ein Muster zur Verfügung, aus dem eine solche Datenschutz-Einwilligung erstellt werden kann. Dabei sollten unbedingt die Hinweise in aus diesem Dokument beachtet werden, das ebenfalls auf der BEFG-Seite zu finden ist. 

* Die genaue Definition, wann eine Verarbeitung von personenbezogenen Daten zulässig ist, kann in §5 DSO-Bund nachgelesen werden.

Datenverarbeitung in Jugendgruppen, im Gemeindeunterricht, etc.

 

Wie können wir personenbezogene Daten von Teilnehmenden einer Gemeindegruppe verarbeiten, um Teilnehmendenlisten zu erstellen oder Fotos zu veröffentlichen?

Diese Antwort wird etwas länger, besorg dir also am besten eine Tasse Tee oder Kaffee, und mach es dir gemütlich.

Zunächst ein paar allgemeine Hinweise zu dem Thema:

  • Wenn ihr Daten von „Gemeindekindern“ verarbeitet, bietet es sich an, die Verarbeitung von deren Daten einmal grundsätzlich über eine Einwilligung zu regeln. Dann muss das nicht jedes Mal neu gemacht werden, wenn die Person in eine neue Gemeindegruppe kommt. Auf der Seite des BEFG unter https://www.befg.de/angebote-fuer/gemeinden/datenschutz/ gibt es eine entsprechende Vorlage für eine Datenschutzeinwilligung.

  • Wenn die betroffenen Personen unter 16 Jahre alt sind, muss auch eine Einwilligung von einem Träger oder einer Trägerin der elterlichen Sorge eingeholt werden. (Im Folgenden nennen wir diese Personen der Einfachheit halber „Erziehungsberechtigte“, auch wenn das juristisch nicht ganz korrekt ist.)

Grundsätzlich ist die Verarbeitung von personenbezogenen Daten ganz einfach geregelt:

1. Ihr dürft keine personenbezogenen Daten verarbeiten, außer es ist erlaubt. Was erlaubt ist, leitet sich aus der Datenschutzordnung des BEFG ab (DSO Bund)

2. Wenn ihr personenbezogenen Daten verarbeiten dürft, müsst ihr die betroffenen Personen vor der Verarbeitung darüber aufklären, warum, wie lange, etc. ihr ihre Daten verarbeitet und was sie für Rechte hat. (Eine betroffene Person ist eine Person, deren Daten verarbeitet werden.)

Mit dieser Regelung soll verhindert werden, dass wahllos personenbezogene Daten gesammelt, gespeichert oder auf sonstige Art verarbeitet werden. Alle, die personenbezogene Daten verarbeiten, sollen gut begründen, warum sie das dürfen.

Wenn ihr bestimmte Daten für eure Gemeindegruppe verarbeiten möchtet, stehen eure Chancen gar nicht so schlecht, dass ihr das dürft.

Der bekannteste Grund, aus dem ihr personenbezogene Daten verarbeiten dürft, ist sicherlich die Einwilligung (§5 Abs. 2 lit. b, DSO Bund). Wenn ihr die betroffene Person vorher fragt, ob sie mit der Verarbeitung ihrer Daten einverstanden ist, dürft ihr die Daten in der Art und Weise, die ihr erfragt habt, verarbeiten. (Außer ihr bittet um die Einwilligung in eine offensichtlich illegale Form der Verarbeitung, die wird dann auch durch die Einwilligung nicht legal.)

Eine Einwilligung ist deshalb angenehm, weil sie große Sicherheit bietet. Allerdings ist sie auch mit hohem Aufwand verbunden, denn die Einwilligung muss eingeholt und dokumentiert werden.

Daher lohnt sich ein Blick auf die anderen Punkte, aus denen eine Verarbeitung von personenbezogenen Daten erlaubt sein kann.

Zum Beispiel ist die Verarbeitung von personenbezogenen Daten erlaubt, wenn es zur Erfüllung der Aufgaben der verantwortlichen Stelle nötig ist (§5 Abs. 2 lit. d, DSO Bund; eine verantwortliche Stelle ist zum Beispiel eine Gemeinde). Gemeindeunterricht durchzuführen oder eine Jugendgruppe anzubieten, ist eindeutig eine Aufgabe einer Gemeinde. Und um diese Aufgaben durchführen zu können, ist zum Beispiel nötig, mit den Teilnehmenden kommunizieren zu können. Um eine Liste mit Kontaktdaten der Teilnehmenden zu erstellen und sie mit Infos zu ihrer Gemeindegruppe zu kontaktieren, dafür braucht ihr also vielleicht gar keine Einwilligung.

Ein weiterer Punkt ist die Vertragserfüllung (§5 Abs. 2 lit. c, DSO Bund). Wenn Personen sich zu einem bestimmten Angebot wie zum Beispiel dem Gemeindeunterricht anmelden, ist es ebenfalls nötig, mit ihnen zu kommunizieren, um den „Vertrag“ (= Durchführung des Gemeindeunterrichts) erfüllen zu können. Auch in diesem Fall könnt ihr z.B. eine Kontaktliste erstellen und die Personen kontaktieren.

In diesen Fällen müsst ihr natürlich trotzdem die betroffenen Personen über die Datenverarbeitung und ihre Rechte informieren. Wenn ihr die Daten von den Teilnehmenden „erhebt“, könnt ihr z.B. folgenden Text unterschreiben lassen (Bei Unter-16-Jährigen auch von Erziehungsberechtigten):

Wir verarbeiten deine Kontaktdaten, um dich über relevanten Informationen zur GRUPPENNAME informieren zu können. Rechtsgrundlage der Verarbeitung ist die Erfüllung unserer Aufgaben als GEMEINDENAME gemäß §5 Abs. 2 lit. d, DSO Bund.
(bzw. ggf. Rechtsgrundlage der Verarbeitung ist die Vertragserfüllung gemäß §5 Abs. 2 lit. c, DSO Bund.)

Wir löschen deine Kontaktdaten von der Teilnehmendenliste, innerhalb von ZEITRAUM nachdem du GRUPPENNAME verlässt.

Mehr Informationen z.B. zu deinen Rechten auf Auskunft über, Berichtigung und Löschung von deinen Daten, findest du in unserer Datenschutzerklärung auf URL. Auf Wunsch händigen wir sie dir auch in gedruckter Form aus.

Hinweise dazu

  • Die Verarbeitung müsst ihr in eurem Verfahrensverzeichnis dokumentieren.

  • Macht euch in jedem Fall Gedanken, wie ihr die Löschung der Daten umsetzen wollt. Wenn es eine Gruppe ist, aus der die TN zu einem bestimmten Zeitpunkt ausscheiden, z.B. Gemeindeunterricht, ist das einfach. Da kann man die Personen dann von der TN-Liste entfernen. Wenn es eine „offene“ Gruppe ist, wie z.B. eine Jugendgruppe, zu der sich niemand anmelden muss, könnte man z.B. sagen, dass die Gruppenleitung einmal im halben Jahr, die TN durchgeht und guckt, wer noch „dazugehört“.

  • Wenn jemand von der TN-Liste gestrichen wird, heißt das nicht automatisch, dass die Gemeinde, alle Daten von der Person löschen muss. Wenn es sich um „Gemeindekinder“, ist es sinnvoll, die Verarbeitung von personenbezogenen Daten einmal „allgemein“ zu regeln, damit es nicht Gruppe neu geregelt werden muss. Z.B. mit der Muster-Datenschutzeinwilligung, erhältlich auf der Seite des BEFG unter https://www.befg.de/angebote-fuer/gemeinden/datenschutz/ 

  • Außerdem solltet ihr klären, wer Zugang zu der TN Liste hat. Ist das neben dem Mitarbeitendenteam z.B. noch das Gemeindebüro, falls dort auch Listen für das Archiv geführt werden? Welche Daten werden dort ggf. behalten, ohne dass das Mitarbeitendenteam einer Gruppe das weiß? Diese Fragen müssten geklärt werden und dann ggf. die Information angepasst werden, bzw. ggf. auch eine Einwilligung eingeholt werden.)

Etwas anders liegt es, wenn ihr die personenbezogenen Daten der Teilnehmenden weitergeben möchtet, also z.B. eine Teilnehmendenliste an alle Gruppenmitglieder verteilen möchtet. Die Weitergabe der Daten ist nämlich meistens nicht für die Erfüllung der Aufgaben oder die Vertragserfüllung nötig und von §5 Abs. 2 lit. c oder d nicht gedeckt. In diesem Fall solltet ihr eine Einwilligung einholen. (Macht euch vorher Gedanken, welche Daten wirklich auf diese Teilnehmendenliste müssen. Allergien oder Essgewohnheiten gehören nicht auf so eine Liste.) 

Ihr könnt dann einfach folgenden Text zum Ankreuzen ergänzen:

Ich bin damit einverstanden, dass mein Name und meine Telefonnummer (WENN NÖTIG ERGÄNZEN) auf einer TEILNEHMENDENLISTE in elektronischer Form an die anderen Teilnehmenden von GRUPPENNAME weitergegeben werden.

Hinweis dazu

Es geht hier um Kontaktdaten, die ihr „offiziell“ als Veranstalter an die Teilnehmenden weitergebt. Welche Daten die Teilnehmenden freiwillig unter sich austauschen, darum müsst ihr euch nicht sorgen. – Mit ein bisschen Kreativität lassen sich mit diesem Wissen manche Probleme vlt. schon lösen. Wenn ihr z.B. das Gefühl habt, eure Gruppe vernetzt sich auch so gut untereinander, warum dann noch die offizielle TN-Liste an die Teilnehmenden  verteilen? – Habt dann aber auf jeden Fall auch die „Außenseiter*innen“ im Blick ...)

Fotos machen!

Ähnlich geht ihr vor, wenn ihr innerhalb eurer „Gruppenstunden“ Fotos macht. (Es geht wieder nur um Fotos, die von Mitarbeitenden „offiziell“ gemacht werden, bzw. um Fotos, die den Mitarbeitenden von Teilnehmenden zur Verfügung gestellt werden, und die veröffentlicht oder im „Gemeindearchiv“ gespeichert werden sollen).

Fotos zu machen und zu speichern ist schon eine Verarbeitung von personenbezogenen Daten, wenn Personen auf den Fotos erkennbar sind. Hier ist es am sichersten, mit einer Einwilligung zu arbeiten.

 Bei dieser Einwilligung müssen die betroffenen Personen darüber informiert werden, in welchem Rahmen Bilder von ihnen veröffentlicht werden. Unterscheiden sollte man hier zwischen dem Veröffentlichen der Fotos in einer Art und Weise, dass die Gemeinde alle Rechte daran behält, und in einer Art und Weise, dass einer dritten Partei Nutzungsrechte an den Bildern (oder sogar Videos) eingeräumt werden. Das ist z.B. bei allen sozialen Medien der Fall.

Um die Einwilligung zur Veröffentlichung von Fotos einzuholen könnt ihr z.B. folgenden Textbaustein ergänzen. (Die Punkte müssen einzeln ankreuzbar sein!)

  • Ich bin damit einverstanden, dass bei GRUPPENNAME Fotos von mir gemacht werden.

Ich bin ferner damit einverstanden, dass Fotos von mir für folgende Zwecke verarbeitet werden. (Zutreffendes bitte ankreuzen):

  • Zeigen bei „gemeindeinternen“ Veranstaltungen (z.B. Gottesdienste oder Gruppenstunden)
  • Veröffentlichen auf der Internetseite der GEMEINDE- UND/ODER GRUPPENNAME (URLS EINTRAGEN).
  • Veröffentlichen auf den Social-Media-Kanälen von GEMEINDE- UND/ODER GRUPPENNAME (URLS EINTRAGEN).
  • Weitergabe an die anderen Teilnehmenden von GRUPPENNAME in elektronischer Form.
  • Speichern für Archivzwecke der Gemeinde

Hinweis

Diese Punkte müssen getrennt bleiben, damit die Einwilligung für jeden Punkt gesondert gegeben, bzw. nicht gegeben werden kann.

Tipp für die praktische Umsetzung

Ihr könnt das Informations- und Einwilligungsblatt online zur Verfügung stellen, sodass es sich die Teilnehmenden zu Hause ausdrucken und unterschreiben (bzw. unterschreiben lassen) können und euch dann ein Foto davon per Mail zuschicken. 

Eine Vorlage mit den o.g. Formulierungen, um über die Datenverarbeitung zu informieren und die Einwilligung einzuholen, gibt es hier >>>

Bitte vor der Verwendung euren eigenen Gemeinde- und Gruppenname einfügen und ggf. die nicht zutreffenden Punkte löschen. 

Anmeldung zu einer Gemeindefreizeit (und anderen Veranstaltungen)

Wenn ihr als Gemeinde Freizeiten (oder andere Veranstaltungen) anbietet, werden bei der Anmeldung dazu oft eine Reihe personenbezogener Daten von den Teilnehmenden erfasst. Auch hier gilt, dass ihr für die Verarbeitung der Daten eine Rechtsgrundlage braucht und über Art und Umfang der Verarbeitung aufklären müsst. 

Auf Freizeiten werden oft Fotos und Videos gemacht. Wenn darauf Personen erkennbar sind und ihr die Fotos verwenden möchtet, ist es wichtig, von den betroffenen Personen die Einwilligung für den jeweiligen Verwendungszweck einzuholen. 

In dieser Vorlage findet ihr einem Entwurf für ein Anmeldeformular, in dem die Einwilligung zur Datenverarbeitung für die Freizeitdurchführung erteilt wird und auch die Einwilligung für verschiedene Verwendungen von Bildmaterial abgefragt wird. Darüber hinaus ist darin auch ein Entwurf für einen entsprechenden Abschnitt in der Datenschutzerklärung eurer Gemeinde enthalten, der über die Datenverarbeitung im Zuge der Anmeldung zu Veranstaltungen aufklärt. Diesen müsst ihr anpassen und an entsprechender Stelle in eure Datenschutzerklärung einfügen. Den Link zur Datenschutzerklärung fügt ihr dann wiederum an der vorgesehenen Stelle in das Anmeldeformular ein. 

Die rot hervorgehobenen Stellen müsst ihr anpassen/ergänzen/beachten...

Denkt daran, das Verfahren "Anmeldung zu Gemeindefreizeiten" (o. Ä.) mit in euer Verzeichnis der Verarbeitungstätigkeiten aufzunehmen. 

Vorlage für Anmeldung zu einer Gemeindefreizeit 

Stand: 01.03.2023