Thema Datenschutz
Die Arbeit mit Kindern und Jugendlichen macht immer wieder – z.B. bei der Organisation von Fahrten und Veranstaltungen – die Erhebung, Verarbeitung und Speicherung von personenbezogenen Daten (Name, Anschrift, Kontaktdaten, Alter etc.) erforderlich. Außerdem ist es schön, wenn im Rahmen von Veranstaltungen Fotos, ggf. auch kleine Filme als Erinnerung für die Teilnehmenden und Information für andere Interessierte entstehen. Wenn wir mit solchen „Daten“ bzw. personenbezogenen Medien (auch Fotos und Filme, auf denen Personen abgebildet sind, sind personenbezogene Daten) umgehen, ist es wichtig, dies mit Umsicht und entlang bestimmter Regeln zu tun.
Eine Gesamtübersicht über alle Grundsätze des Datenschutzes im Bereich der Katholischen Kirche Deutschlands bietet das Gesetz über den Kirchlichen Datenschutz (KDG) in der Fassung vom 20. November 2017 sowie die Webseiten der Datenschutzbeauftragten der jeweiligen Diözesen.
Hier die wichtigsten Grundsätze, an die sich alle halten müssen, die im kirchlichen Umfeld mit Daten – insbesondere solchen von Kindern und Jugendlichen – zu tun haben:
Keine Nutzung ohne Information.
Grundsätzlich dürfen jedwede Daten von Personen nur dann gespeichert und verarbeitet werden, wenn die betreffende Person vorab eingehend darüber informiert wurde und auch klar ist, wie dieser Nutzung der eigenen Daten widersprochen werden kann. Am einfachsten geht das mittels sogenannter Datenschutzhinweise, die bei Veranstaltungen am bestens schon bei mit der Ausschreibung kommuniziert werden. In diesen muss deutlich benannt sein, welche Daten durch wen zu welchem Zweck erhoben, verarbeitet und gespeichert werden. Der Hintergrund ist, dass die betroffene Person jederzeit nachvollziehen können soll, wo ihre Daten sind und was mit ihnen passiert.
Die Nachweispflicht über die Datenschutzhinweise liegt dabei bei der Stelle, die die Daten erhebt bzw. verarbeitet. Dort muss auch eine Löschung der Daten jederzeit gewährleistet werden. Die Daten müssen also so abgelegt sein, dass sie bei Verlangen sofort aufgefunden und vollumfänglich gelöscht werden können.
Eine Ausnahme stellen solche Daten dar, für die eine rechtliche Aufbewahrungspflicht besteht. Dies ist beispielsweise bei Daten der Fall, die für die Abrechnung öffentlicher Fördermittel erhoben werden müssen.
Fotos nur mit Einwilligung.
Da Fotos und Videoaufnahmen von Personen besonders empfindliche (d.h. besonders schützenswerte) personenbezogene Daten sind, muss hier im Regelfall eine Einwilligung der betreffenden Person eingeholt werden, bevor diese angefertigt, gespeichert oder gar veröffentlicht werden dürfen. Dies gilt insbesondere für Kinder und minderjährige Jugendliche. Bei Personen unter 16 Jahren muss diese Einwilligung zwingend von den Sorgeberechtigten unterzeichnet werden. Ab Vollendung des 14. Lebensjahres muss die Einwilligung (auch) durch die abgebildete Person selbst gegeben werden.
Die Einwilligung zur Anfertigung, Speicherung und Veröffentlichung von Aufnahmen ist dabei anlassbezogen einzuholen. D.h. sie kann nicht pauschal gegeben werden, sondern ist für jede Veranstaltung neu zu erfragen.
Bei der Veröffentlichung von Aufnahmen gilt zudem: das schriftliche Einverständnis muss so lange aufbewahrt werden und nachweisbar sein, wie die Veröffentlichung anhält. Eine digitale Ablage der Einwilligung ist dabei zulässig.
Hier ist ein Muster (bitte entsprechend anpassen) für eine Einwilligung zur Anfertigung, Speicherung und Nutzung von Foto- und Videoaufnahmen.
Bei Veranstaltungen an denen keine Minderjährigen teilnehmen, kann unter Umständen auf das Einholen persönlicher Einwilligungen zur Anfertigung, Speicherung und Nutzung von Foto- und Videoaufnahmen verzichtet werden – etwa dann, wenn dies aufgrund der Größe oder Anlage der Veranstaltung nicht möglich ist oder einen unzumutbaren Aufwand bedeuten würde. Ist dies der Fall, muss bereits bei der Ankündigung der Veranstaltung oder einer eventuellen Einladung dazu darüber informiert werden, dass im Rahmen der Veranstaltung Aufnahmen angefertigt werden und wofür diese genutzt werden sollen. Außerdem muss darüber aufgeklärt werden, was zu tun ist, wenn man selbst nicht auf einer Aufnahme erscheinen möchte. Weiterhin ist bei der Veranstaltung selbst über Aushang sowie mündliche Information noch einmal deutlich darauf hinzuweisen, dass Fotos oder andere Aufnahmen gemacht werden und den teilnehmenden Personen zu Möglichkeit zu geben, eine Aufnahme der eigenen Person im Rahmen der Veranstaltung abzulehnen.
Hier ist ein Muster (bitte entsprechend anpassen) für eine Vorankündigung von Aufnahmen sowie einen Aushang zur Information über Foto- und Videoaufnahmen im Rahmen von Veranstaltungen.
Unter 16-Jährige haben einen besonderen Schutz.
Das KDG (Gesetz über den Kirchlichen Datenschutz) betrachtet Kinder und Jugendliche unter 16 Jahren als besonders schützenswert. Dies hat u.a. zur Folge, dass bei dieser Gruppe die Eltern oder Sorgeberechtigten zwingend zustimmen müssen, wenn Fotos oder andere Aufnahmen angefertigt und veröffentlicht werden sollen.
Mit Daten müssen wir sparsam umgehen.
Der Grundsatz der Datensparsamkeit oder Datenminimierung besagt, dass immer nur die Daten erhoben und verarbeitet werden dürfen, die für die Realisierung des jeweiligen Angebots etc. zwingend erforderlich sind oder vom Gesetzgeber (z.B. im Rahmen einer Abrechnung) vorgeschrieben werden. Das bedeutet auch, dass der oder die jeweilige Verantwortliche für eine Veranstaltung auch nur die Informationen von den Teilnehmenden haben muss, die er oder sie für die erfolgreiche Durchführung braucht. Alle anderen Daten haben auf Listen etc. nichts zu suchen und sollten im Zweifelsfall auch gar nicht abgefragt werden. So gilt es beispielsweise zu prüfen: Brauche ich wirklich das volle Geburtsdatum eines Teilnehmenden oder reicht auch das Geburtsjahr aus?
Werden Listen an Dritte (z.B. das Personal in einem Übernachtungshaus) weitergegeben, müssen die darin enthaltenen Daten ebenfalls auf diesen Grundsatz hin überprüft werden.
Ganz besonders ist der Grundsatz der Datensparsamkeit bei der langfristigen Speicherung von Daten anzuwenden: Wenn es mein Interesse ist, Teilnehmende auf weitere Veranstaltungen aufmerksam zu machen, brauche ich dafür wirklich nur den Namen und die Kontaktdaten, nicht aber etwaige Gesundheitsdaten. Die nicht zwingend benötigten Daten dürfen nicht gespeichert werden, sondern sind nach der Veranstaltung zu löschen.
Sicherheit hat oberste Priorität.
Wenn wir Daten erheben, verarbeiten und speichern, muss dies mit einem angemessenen Grad an Sicherheit tun. Das heißt wie müssen darauf achten, dass nur befugte Personen Zugriff auf diese Daten haben und dass diese nicht verloren gehen, zerstört oder beschädigt werden können. Um dies zu gewährleisten, braucht es technische und organisatorische Sicherheitsmaßnamen. Eine erste und wichtigste dieser Maßnahmen ist es, personenbezogene Daten zum einen nicht auf Servern zu speichern, die sich nicht in der Europäischen Union befinden und daher nicht dem hier geltenden Datenschutzrecht unterliegen; und zum anderen für die Weitergabe dieser Daten nur sichere Kommunikationswege zu nutzen.
WhatsApp geht nicht.
Die Nutzung von WhatsApp im Bereich der Arbeit mit Kindern und Jugendlichen ist zwar praktisch – aus Sicht der geltenden Datenschutzbestimmungen aber eigentlich nicht zulässig. Grund dafür ist die Tatsache, dass WhatsApp, sobald dieses auf dem persönlichen Smartphone installiert ist, alle auf diesem Gerät gespeicherten Kontakt ausliest und erfasst – auch wenn diese Kontakte selbst WhatsApp nicht nutzen. Das bedeutet also, dass jede Nutzerin und jeder Nutzer von WhatsApp automatisch die Daten seiner Kontakte an WhatsApp weitergibt – ohne dafür in der Regel eine Einwilligung der anderen Person zu haben. Dies ist ein grober Verstoß gegen die Datenschutzgrundverordnung. Außerdem sichert sich WhatsApp über seine Nutzungsbedingungen das Recht, alle mit WhatsApp versandten Bilder selbst weiter zu nutzen und auch an Dritte weiterzugeben.
In unserer Arbeit versuchen wir daher, auf WhatsApp zu verzichten und Threema als Alternative zu nutzen. Dieser Dienst kostet zwar eine Lizenzgebühr, dafür „bezahlen“ wir nicht mit unseren Daten. Wer selbst Interesse an der Nutzung von Threema hat, kann sich gern beim FB Kinder und Jugend melden: kinder.jugend@bddmei.de
E-Mail ist nicht unbedingt sicher.
Bei Kindern und Jugendlichen stehen E-Mails ohnehin nicht hoch im Kurs. Für die verbindliche Kommunikation (z.B. bei Informationen zu Veranstaltungen) oder für den Austausch mit Eltern und anderen Verantwortlichen ist sie aber nach wie vor der zentrale Kommunikationsweg. Dabei muss allerdings beachtet werden, dass E-Mails – sofern sie nicht verschlüsselt versendet werden – aus Datenschutzsicht keinen sicheren Kommunikationsweg darstellen. Der Versand von personenbezogenen Daten sollte daher auch nur mit Einverständnis der Person erfolgen, der die Daten gehören. Liegt kein Einverständnis vor, muss ein anderer Kommunikationsweg (z.B. Post) gewählt werden.
Hier ist ein Beispiel für eine Einwilligung zur Nutzung von E-Mail für den Versand personenbezogener Daten.
Bei der Nutzung von E-Mail als Kommunikationsmedium ist zudem eine hohe Sensibilität notwendig, was den Einsatz von Verteilern betrifft. Sammelmails an mehrere Personen sollten grundsätzlich im BCC (blind copy, d.h. blinde Empfänger) versandt werden. Die anderen Empfänger*innen einer Nachricht können damit nicht einsehen, wer diese Nachricht noch erhalten hat und bekommen somit auch nicht unberechtigterweise Zugang zu den Kontaktdaten Dritter. Offene Verteiler (auch CC), bei denen die Kontaktdaten für alle Angeschriebenen gleichermaßen einsichtig sind, sollten nur dann genutzt werden, wenn dafür ein Einverständnis aller vorliegt oder es sich um ohnehin veröffentlichte Adressen handelt.