Bild
Illustrationen zum Datenschutz mit einem Zahlenschloss, einer Akte und einem Laptop mit einem Schloss als Bildschirmbild

Datenschutz FAQ

 

    Häufig gestellte Fragen zum Thema Datenschutz 

    Die kirchliche Datenschutzgerichtsordnung (KDSGO) der Katholischen Kirche

    Update: 09.04.2019

    Die KDSGO wurde aufgrund eines besonderen Mandats des Apostolischen Stuhls gemäß can. 455 § 1 Codex Iuris Canonici (CIC) von der Deutschen Bischofskonferenz erlassen.

    Die KDSGO beinhaltet die Errichtung eines Gerichtswegs zur Überprüfung von Entscheidungen der Datenschutzaufsichten sowie für Rechtsbehelfe betroffener Personen gegen Verantwortliche oder kirchliche Auftragsverarbeiter.

    Es gibt zwei Gerichtsinstanzen:

    1. Interdiözesanes Datenschutzgericht als erste Instanz mit Sitz in Köln
    2. Datenschutzgericht der Deutschen Bischofskonferenz als zweite Instanz mit Sitz in Bonn

    Die neue Durchführungsverordnung zum Gesetz über den Kirchlichen Datenschutz (KDG-DVO)

    Durch eine Expertenkommission, bei deren Teilnehmern es sich um Fachleute aus den Bereichen IT und Datenschutz handelte, wurde für die November-Vollversammlung 2018 des Verbandes der Diözesen Deutschlands (VDD) eine Neufassung der KDO-DVO ausgearbeitet. Diese wurde von der Versammlung beschlossen und den (Erz-)Diözesen der Katholischen Kirche in Deutschland als Empfehlung zur Inkraftsetzung vorgelegt.

    Die Durchführungsverordnung konkretisiert einzelne Vorschriften des KDG. Hier findet ihr weitere Informationen.

    Erstmals Durchführungshinweise in einem Amtsblatt

    Update: 28.02.2019

    Im Amtsblatt für die Erzdiözese Paderborn vom 20. Dezember 2018 wird erstmals eine Durchführungsverordnung veröffentlicht. Andere Diözesen werden wohl bald folgen.

    Datenschutz-FAQ der Deutschen Bischofskonferenz

    Update: 19.10.2018

    Auf der Seite der Deutschen Bischofskonferenz (DBK) findet ihr jetzt auch Informationen zum kirchlichen Datenschutz in Form einer Frage- und Antworten-Seite.

    Dort wird auch darauf hingewiesen, dass die Informationen noch nicht endgültig sind und noch viele Absprachen zur Ergänzung und Anpassung laufen.

    Datenschutz in der Jugendverbandsarbeit

    Am 24. Mai 2018 ist das neu Gesetz über den Kirchlichen Datenschutz (KDG) in Kraft getreten, einen Tag später die europäische Datenschutzgrundverordnung (EU-DSGVO). Als Jugendverband verarbeiten wir personenbezogene Daten unserer Mitglieder unter Einsatz der automatisierten Datenverarbeitung. Somit ist nach § 2 Abs. 1 des Kirchlichen Datenschutzgesetzes (Art. 2 Abs. 1 DS-GVO) der Anwendungsbereich dieses Gesetzes eröffnet.

    Wir möchten euch mit diesen FAQ’s sowie den darin enthaltenen Links so viel Input wie möglich geben, an dem ihr euch orientieren und informieren könnt. Dabei erheben wir trotz sorgfältiger Prüfung keinen Anspruch auf Richtigkeit und Vollständigkeit.

    Der DPSG Bundesverband darf keine Rechtsberatung leisten. Dennoch geben wir euch hier einige Tipps, wie ihr euch möglichst gut auf die geänderte Rechtslage vorbereiten könnt.

    Unsere Handlungsempfehlungen sollen euch dafür sensibilisieren, ob ihr die personenbezogenen Daten der Kinder und Jugendlichen in eurem Stamm gut geschützt habt, oder ob ihr eine korrekte Datenschutzerklärung auf eurer Homepage habt. Ebenfalls wird die Fraage geklärt, ob ihr eine betriebliche Datenschutzbeauftragte oder einen betrieblichen Datenschutzbeauftragten benötigt.

    Datenschutz Allgemein

    Welche Daten unterliegen dem Datenschutz?

    Im Grundsatz geht es bei den neuen gesetzlichen Regelungen darum, alle personenbezogenen Daten besonders zu schützen. Personenbezogene Daten sind alle Angaben, die eine Person identifizierbar machen.

    Beispiele für personenbezogene Daten sind:

    • Name, Alter, Familienstand, Geburtsdatum
    • Anschrift, Telefonnummer, E-Mail Adresse
    • Konto-, Kreditkartennummer
    • Kraftfahrzeugnummer, Kfz-Kennzeichen
    • Personalausweisnummer, Sozialversicherungsnummer
    • Werturteile wie zum Beispiel Zeugnisse
    • Erweiterte Führungszeugnisse
    • Standortdaten
    • Online-Kennungen
    • Ausgaben, die die Gesundheit betreffen
    • Mitgliedsnummer in NaMi

    Ein weiteres, im Stammesalltag häufig verwendetes Beispiel sind aber auch Fotos, die ihr deshalb unter keinen Umständen mehr ohne schriftliche Erlaubnis (Unterschrift!) machen dürft. Überall gilt der Grundsatz der Datensparsamkeit, d.h. personenbezogene Daten dürfen nur Personen zugänglich gemacht werden, die sie benötigen. (z.B.: Muss im Stammeslager der Koch wissen, wer welche Allergien/Unverträglichkeiten hat, nicht aber wie dessen Bankverbindung lautet. Der Kassierer hingegen benötigt kein Wissen über die Religionszugehörigkeit oder Einsicht in ein erweitertes Führungszeugnis).

    Angaben, die für eine zeitlich begrenzte Aktivität erhoben werden, müssen nach den vorgesehenen Archivierungsfristen gelöscht werden.

    Ausführliche Informationen zu Archivierungsfristen findet ihr in dieser Veröffentlichung des katholischen Datenschutzzentrums.

    Wichtig: Personenbezogene Daten sind nicht nur in digitaler Form vom Datenschutz betroffen. Auch Papieraufzeichnungen müssen berücksichtigt werden. 

    Was gilt für uns als (kirchlicher) Jugendverband: KDG oder EU-DSGVO?

    Bei so gut wie allen Stämmen dürfte das Gesetz über den Kirchlichen Datenschutz (KDG) gelten, denn es ist bei Einrichtungen anzuwenden, die vorrangig kirchliche Zwecke erfüllen, unabhängig davon, welche Rechtsform sie haben. Also auch Ortsgruppen von Jugendverbänden. Auch wenn sie kein eingetragener Verein sind. Einzige Ausnahme könnten Gewerbebetriebe in kirchlicher Trägerschaft darstellen. Im Zweifelsfall fragen aber die staatlichen Datenschutzaufsichtsbehörden erst bei den kirchlichen nach, bevor sie gegen eine mutmaßlich kirchliche Einrichtung tätig werden.

    Unter kirchliches Recht zu fallen, hat Vorteile: Vor allem sind die Strafzahlungen bei Verstößen kleiner. Außerdem kennen sich die Diözesandatenschutzbeauftragten besser mit der Kirche aus, als weltliche Behörden.

    Das Gesetz über den Kirchlichen Datenschutz (KDG) bringt Herausforderungen für uns alle mit sich: Wer unter das KDG fällt, muss das höhere Datenschutzniveau erfüllen, das auch Behörden erfüllen müssen. So ist die Benutzung von WhatsApp, Facebook, Instagram (derzeit) quasi komplett verboten, weil der Dienst Daten in den USA speichert und es keinen Anerkennungsbeschluss der EU-Kommission (vgl. § 40 KDG) für das Datenschutzabkommen EU-US-Privacy-Shield gibt, der das behördliche Datenschutzniveau feststellen würde.

    Ferner setzt das KDG immer eine schriftliche Einwilligung (mit Unterschrift, digital reicht nicht aus) zur Datenverarbeitung voraus.

    An wen kann ich mich bei Fragen wenden?

    Da es in einigen Bereichen (landes- bzw. diözesanspezifisch) unterschiedliche Rechtslagen gibt, ist es sinnvoll euch bei Fragen vorrangig an die Diözesandatenschutzbeauftragten in euren Regionen zu wenden (Hierbei handelt es sich auch um die zuständige Kontrollaufsicht). Hier findet ihr eine Übersicht der zuständigen Stellen.

    Wer ist für die Umsetzung des geänderten Datenschutzes verantwortlich?

    Der*die jeweilige Verantwortliche ist für die Umsetzung und Einhaltung des Datenschutzes verantwortlich. Es liegt auch in der Verantwortung der Vorstände, sowohl ehrenamtliche als auch hauptberufliche Mitarbeitende zu unterrichten bzw. zu belehren.

    Was ist bei Problemen/Datenverlust zu tun?

    Die zuständige Aufsichtsbehörde muss informiert werden.

    Verarbeitungsverzeichnisse

    Was ist ein Verarbeitungsverzeichnis und wofür brauchen wir es?

    Das Verzeichnis von Verarbeitungstätigkeiten dient als wesentliche Grundlage für eine strukturierte Datenschutzdokumentation und hilft dem Verantwortlichen (Vorstand und Geschäftsführung) dabei, gemäß Art. 5 Abs. 2 Datenschutzgrundverordnung (DS-GVO) nachzuweisen, dass die Vorgaben aus der DS-GVO eingehalten werden (Rechenschaftspflicht). Es stellt somit ein wesentliches Element für die Etablierung eines umfassenden Datenschutz- und Informationssicherheits-Managementsystems dar.

    Im KDG findet sich diese Pflicht in § 31. Das katholische Datenschutzzentrum stellt sowohl ein Muster als auch ausführliche Praxishilfen zur Verfügung. Auch von uns werdet ihr in Kürze ein Muster zum Download auf der Homepage finden.

    Was sind Technische und organisatorische Maßnahmen?

    Technische Maßnahmen beziehen sich auf den Datenverarbeitungsvorgang als solches. Sie bezeichnen alle Maßnahmen, die sich physisch umsetzen lassen, zum Beispiel durch das Installieren einer Zugangs- oder Zugriffskontrolle mittels Passwort.

    Organisatorische Maßnahmen beziehen sich auf die Rahmenbedingungen des Datenverarbeitungsvorgangs. Sie umfassen Regeln, Vorgaben und Handlungsanweisungen, die dazu dienen, dass Mitarbeiter den Datenschutz gesetzestreu einhalten.

    Auftragsdatenverarbeitung

    Was bedeutet Auftragsdatenverarbeitung?

    Ein Auszug aus der Praxishilfe 04 des katholischen Datenschutzzentrums definiert die Auftragsdatenverarbeitung wie folgt:

    „Geregelt ist die Auftragsverarbeitung künftig in § 29 KDG, der sich an die Bestimmung in Art. 28 der Datenschutzgrundverordnung (DS-GVO) anlehnt. Wie bereits in der noch geltenden KDO wird weiterhin der Auftragnehmer nicht als „Dritter“ bei der „Offenlegung“ personenbezogener Daten (frühere Bezeichnung: „Datenübermittlung“) angesehen. Nach der Definition des Begriffs in § 4 Nr. 12 KDG ist „Dritter“ jede natürliche oder juristische Person, soweit es sich bei ihr nicht um den Betroffenen selbst, den Verantwortlichen oder einen von ihm/ihr eingeschaltete/n Auftragsverarbeiter/in handelt. Die/Der Auftragsverarbeiter/in ist also insoweit privilegiert, als eine Offenlegung der Daten an ihn ohne Prüfschranken erfolgen kann. Der Dienstleister wird also im „Innenverhältnis“ für den Verantwortlichen tätig.“

    Ausführlich erklärt werden die sogenannten Privilegien u.a. in der o.g. Praxishilfe. Kurz kann man sagen:

    Eine Vereinbarung zur Auftragsdatenverarbeitung müsst ihr mit allen Anbietern schließen, die mit euren Daten arbeiten. Das sind etwa externe Versandanbieter für Newsletter, Anbieter von Mailinglisten, Google Analytics o.ä. Bitte fragt dort an, wo die Server stehen, auf denen die Daten gespeichert werden. Es macht juristisch einen großen Unterschied, ob sie in oder außerhalb der EU stehen.

    Verträge zur Auftragsdatenverarbeitung solltet ihr bis zum 31. Dezember 2019 geschlossen haben.

    Hier findet ihr weiter unten eine gute Zusammenfassung der Rechtslage, sowie eine gut nutzbare Checkliste.

    Wichtig: Personenbezogene Daten dürfen nie ohne die Einwilligung der betroffenen Personen an Dritte weitergegeben werden.

    NaMi

    Sind unsere Daten in der NaMi sicher?

    Die Sicherheit eurer Mitgliedsdaten ist für uns das A und O!

    Wir sorgen mit abgeschlossenen Datenschutzerklärungen gemäß § 4 Anordnung KDO zwischen unseren Dienstleistern/Programmierern und uns für Sicherheit im Umgang eurer Daten! Die Datenschutzerklärungen werden unsererseits ans neue KDG angepasst und aktualisiert. Ebenfalls wird mit jedem Dienstleister ein Auftragsdatenverarbeitsvertrag geschlossen (siehe oben). Im Bundesamt arbeiten wir ebenfalls alle nach den Richtlinien des KDG und werden die Mitarbeiter entsprechend der Änderungen stets schulen.

    Was müssen wir bei NaMi beachten?

    Im Stammesalltag möchten wir euch die Empfehlung geben, eure Zugriffe/Rechtevergabe zu überdenken. Es sollten nur die Personen einen Zugriff erhalten, die die NaMi wirklich nutzen. Mit dem Leserecht fallt ihr schon in die Kategorie der Personen, „die ständig mit personenbezogenen Daten arbeiten“ und füllt so schnell die 10 Personen, die die Pflicht zur Bestellung eines Datenschutzbeauftragten mit sich bringt.

    Weitergabe von Daten (z.B. aus der Mitgliederverwaltung NaMi und Veranstaltungen)

    Intern: Eine Weitergabe von Daten innerhalb der DPSG (d.h. zwischen den Ebenen Diözese/Bezirk/Stamm/Siedlung oder an Funktionsträger) in elektronischer, gedruckter oder anderer Form ist im Rahmen des Vereinszwecks grundsätzlich zulässig. Eine Weitergabe von Mitglied zu Mitglied ohne direkten Zusammenhang mit dem Satzungszweck ist jedoch untersagt. Selbst eine öffentliche Gratulation zum Geburtstag ist bereits eine Veröffentlichung von personenbezogenen Daten. In jedem Fall sind die Empfängerinnen und Empfänger von Daten auf das Datengeheimnis zu verpflichten, die Verpflichtung ist zu dokumentieren. Darüber hinaus ist auf die Sicherheit der Daten zu achten, d.h. sie sind angemessen vor Zugriff oder Manipulation durch Unbefugte zu schützen.

    Extern: Eine Weitergabe der Daten an Dritte ist nur im Rahmen rechtlicher Verpflichtungen, einer Auftragsdatenverarbeitung im Rahmen des Vereinszwecks oder nach ausdrücklicher, auf den jeweiligen Einzelfall bezogenen, Zustimmung der betroffenen Person zulässig.

    Anmeldungen Zeltlager, Teilnehmenden-/Telefon-/E-Mail-Listen

    Wie können wir die Daten ausreichend schützen und was ist zu beachten?

    Anmeldebögen sollten bei dem/der jeweiligen Gruppenverantwortlichen aufbewahrt werden, sodass nicht jeder Einsicht in die personenbezogenen Unterlagen hat. Zum Beispiel könnt ihr Allergien etc. für die Küche auf eine extra Liste (Vorname, Stufe, Allergie,...) schreiben, die dann dem Küchenteam zur Verfügung gestellt wird. So könnt ihr darauf achten, dass jede Funktionsträgerin und jeder Funktionsträger (Gruppenleitung, Lagerleitung, Küchenteam, Sanitäterin oder Sanitäter) nur die für die Erfüllung ihrer oder seiner Aufgaben erforderlichen personenbezogenen Daten kennt.

    Auch bei Listen zur Kommunikation gilt wieder:

    Grundsätzlich: Nur mit Einwilligung! E-Mail-Adressen und Telefonnummern dürfen für verbandliche Zwecke genutzt werden. Allerdings darf jede Funktionsträgerin und jeder Funktionsträger auch hier nur die für die Erfüllung seiner Aufgaben erforderlichen Daten (also Name und E-Mail-Adresse bzw. Telefonnummer) kennen, verarbeiten und nutzen. (Stichwort: Zweckgebunden / Datensparsamkeit!)

    Allgemein kann noch gesagt werden: Listen mit personenbezogenen Daten dürfen niemals offen im Gruppenraum/Zeltlager & Co liegen, da schnell Dritte an Daten gelangen oder Listen beispielsweise abfotografiert werden könnten.

    Was ist bei Gesundheitsdaten zu beachten?

    Im Rahmen von Anmeldungen zur Veranstaltungen werden häufig Gesundheitsdaten (z.B. Allergien, Medikamente, Erkrankungen erhoben). Diese Daten gelten als besonders sensibel, d.h. sie sind besonders vor unbefugtem Zugriff zu schützen, der Zugriff auf diese Daten ist auf das zwingend notwendige Maß zu beschränken und die Daten sind nach Ablauf der Veranstaltung sicher zu vernichten. Darüber hinaus ist eine ausdrückliche Einverständniserklärung erforderlich, diese muss freiwillig und nach vorheriger Information über Zweck und Form der Verarbeitung der Daten sowie einer Widerrufsbelehrung erfolgen.

    Welche Hinweise muss der Mitgliedsantrag enthalten?

    Im Mitgliedsantrag der DPSG werden viele persönliche Daten abgefragt. Es ist wichtig, nur die nötigsten Angaben einzufordern. Es besteht auch die Möglichkeit, bestimmte Angaben freiwillig einzutragen. Auch hier gilt der Grundsatz der Datensparsamkeit. Den aktuellen Mitgliedsantrag, an dem ihr euch orientieren könnt, findet ihr in NaMi.

    Homepage

    Was ist auf der Stammeshomepage zu beachten?

    Das auf eurer Homepage Daten abgefragt werden ist teilweise offensichtlich. (Kontaktformulare etc.) Wichtig ist, dass alle Informationen verschlüsselt übertragen werden (SSL). Eine solche Verschlüsselung kann über den Hostinganbieter eingekauft werden. Das sollte spätestens am 24.05.2018 geschehen sein.

    An anderen Stellen ist die Nutzung von Daten weniger offensichtlich, etwa, wenn ihr Google Adsense oder Analytics nutzt. Eure Nutzerinnen und Nutzer geben damit Daten preis, wissen das aber unter Umständen nicht. Damit sie es wissen, solltet ihr auf der Startseite einen Hinweis auf Cookies setzen. Wie das konkret geht ist systemabhängig: Wordpress bietet etwa eigene Plugins an, die ihr installieren könnt.

    Der Text kann folgendermaßen lauten: “Wir verwenden Cookies, um unsere Webseite für dich optimal zu gestalten und verbessern zu können. Durch die weitere Nutzung der Webseite stimmst du der Verwendung von Cookies zu."

    Eure Homepage muss nicht nur ein Impressum, sondern auch einen separaten Datenschutzhinweis enthalten, der alle Datennutzungen benennt. Es ist nicht ausreichend, einen Datenschutzhinweis in das bestehende Impressum einzuarbeiten.

    Der Datenschutzhinweis muss also eine eigene Seite sein, die über die Navigation im Menü angesteuert werden kann. Hier hinterlegt ihr bitte Hinweise auf Nutzung oder Zurverfügungstellung folgender Dienste:

    • Einbindung fremder Inhalte wie Videos von YouTube, Kartenmaterial von Google-Maps,
    • RSS-Feeds oder Grafiken
    • Kontaktformulare
    • Newsletter
    • Cookies
    • Nutzung von Google-Analytics
    • Twitter- und/oder Facebook-Schaltflächen
    • Google-AdSense-Werbung

    Ihr solltet nicht einfach unsere oder eine andere Datenschutzerklärung kopieren. Ihr müsst vielmehr euer Webangebot selbst analysieren und eine individuell passende Erklärung erstellen. Dabei kann euch die Anleitung unten helfen.

    Hinweis: Durch die veränderte Datenschutz-Rechtslage muss damit gerechnet werden, dass Seitenbetreiber abgemahnt werden. In den meisten Fällen beziehen sich diese Abmahnungen auf eine fehlende oder falsche Datenschutzerklärung auf der Webseite. Wenn ihr keine aktuelle Datenschutzerklärung habt, solltet ihr eure Seite vorsichtshalber deaktivieren.

    Unsere Datenschutzerklärung

    Als Vorlage findet ihr hier die Datenschutzerklärung unserer Website.

    Bildrechte

    Was ist das „Recht am eigenen Bild“?

    „Bildnisse dürfen nur mit Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden“ (§§ 22 und 23 des Kunsturheberrechtsgesetzes (KunstUrhG)).

    Wenn ihr Bilder veröffentlicht (z. B. auf der Homepage, in einem Flyer, auf Facebook oder in der Zeitung), solltet ihr von allen abgebildeten Personen eine – UNBEDINGT SCHRIFTLICHE – Einwilligung einholen und darin darauf hinweisen, dass die Einwilligung aufgehoben/gespeichert wird und dies auch (am besten Jahrzehnte lang) tun.

    Bei Kindern ab 12 Jahre muss das Kind selbst und alle erziehungsberechtigten Personen die Einwilligung unterschreiben. Nur Jugendliche ab 18 Jahre können die Einwilligung alleine unterschreiben. Das gilt für ALLE auf einem Foto abgebildeten Personen – unabhängig von der Anzahl.

    Update: Juni 2019
    Die Konferenz der Diözesandatenschutzbeauftragten hat beschlossen, dass pauschale Einwilligungen für eine bestimmte Zeit oder eine Veranstaltung wieder möglich sind. Weitere Informationen zu dem Beschluss findet ihr in diesem Bericht.

    Eine Vorlage für euren Stamm könnt ihr unten herunterladen.

    Die Konferenz der Diözesandatenschutzbeauftragten hat in einer Arbeitshilfe (siehe unten) weitere Informationen bereitgestellt.

    Gibt es da keine Ausnahmen?

    Doch, ein paar Ausnahmen gibt es. Die wichtigsten sind:

    • Beiwerk: wenn die Person im Bild nur eine untergeordnete Rolle spielt und das Bild mit oder ohne die Person quasi das gleiche wäre
    • Versammlungen: öffentliche Veranstaltungen, wobei die Personen im Bild nicht besonders herausgehoben sein dürfen
    • Personen der Zeitgeschichte – Stars, Politiker*innen oder Prominente (die sowieso in jeder Zeitung zu sehen sind)

    Soziale Netzwerke / Tools

    Wie ist mit sozialen Netzwerken und WhatsApp & Co umzugehen?

    Die Konferenz der Diözesandatenschutzbeauftragten hat beschlossen, dass eine dienstliche Nutzung von WhatsApp nicht zulässig ist. Dabei ist es irrelevant, ob es ein Diensthandy oder beispielsweise bei Ehrenamtlichen ein privates Endgerät ist. Personenbezogene Daten dürfen nicht über WhatsApp versandt werden – und das betrifft fast jede Nutzung, da schon eine Telefonnummer zu den personenbezogenen Daten gehört.

    Broadcast-Listen sind unter bestimmten Voraussetzungen möglich. Für uns als Bundesebene haben wir das über die für uns zuständige Datenschutzaufsichtsbehörde (KDSZ Dortmund) prüfen und mündlich bestätigen lassen.

    Information: Für unseren DPSG-Bundesverband-Account werden wir Facebook und Instagram weiterhin nutzen. Wir achten darauf, dass die Einwilligung gemäß KDG der Personen, von denen wir personenbezogene Daten nutzen (bspw. Fotos) vorliegen haben.

    Gibt es weitere verbotene Programme?

    Das Terminfindungstool Doodle ist nicht konform mit den strengen Vorgaben des Katholischen Datenschutzgesetztes. Aus diesem Grund ist der Einsatz nicht zulässig. Das Erzbistum Köln hat mit dem ECKD – Terminfinder eine mögliche Alternative vorgestellt.

    Datensicherheit

    Für einen effektiven Datenschutz ist eine gute Datensicherheit wichtig. Datensicherheit hat das Ziel jegliche Daten gegen Verlust, Manipulationen und andere Bedrohungen zu sichern. Dazu gehört also die Sicherung von Computern genauso wie die wohl überlegte Aufbewahrung von USB-Sticks.

    Weitere Informationen zum Thema Datensicherheit findet ihr hier.

    Was beinhaltet ein gutes Datenschutzkonzept?

      

    Update: 09.04.2019

    • Beschreibung aller wichtigen Regeln, die im Verantwortungsbereich des Verantwortlichen zum Umgang mit personenbezogenen Daten aufgestellt wurden
    • Beachtung der Ziele der Einrichtung
    • Festlegung des Stellenwerts des Datenschutzes oder von Leitlinien und der Umsetzungsstrategie
    • Festlegung des Geltungsbereichs
    • Festlegung der zu treffenden und zu beachtenden Maßnahmen (ggf. auch in getrennten Dokumenten möglich, z. B. in Konzepten zu Datensicherung, Löschung oder Verschlüsselung)
    • Festlegung von internen Verantwortlichkeiten
    • Verfahrensverzeichnisse
    • Auflistung der technischen und organisatorischen Maßnahmen (TOM), die entsprechend auch in den Verfahren beschrieben sein müssen
    • Umgang mit den Rechten Betroffener, vgl. §§ 14 ff KDG
    • Im Bedarfsfall Erstellung detaillierter Beschreibungen für einzelne spezielle Bereiche
    • Umgang mit Datenschutzverstößen und Sicherstellung der Einhaltung von Meldepflichten
    • Regelmäßige Kontrolle und Überprüfungen nach den gesetzlichen Vorgaben

    Empfehlung / Links

    Update: 28.2.2019

    Der Bund der Deutschen Katholischen Jugend (BDKJ) hat eine Arbeitshilfe zum Kirchlichen Datenschutz herausgebracht. Im Vorfeld wurde abgefragt, welche Themen besonders wichtig sind.

    Der Beck-Verlag hat mit dem bayerischen Landesamt für Datenschutz eine Broschüre herausgebracht, die Kompakt und gut auf Maßnahmen und Neuerungen eingeht und einige Beispiele und Gerüste zur Verfügung stellt