FAQ zum Kirchlichen Datenschutzgesetz

Hinweis:
Eine Haftung oder Garantie für die Aktualität, Richtigkeit und Vollständigkeit der zur
Verfügung gestellten Informationen kann nicht übernommen werden.
Den angebotenen Informationen kommt keine Rechtsverbindlichkeit zu.

  Stand: 05.04.2019


Alle Antworten einblenden
Alle Antworten ausblenden
  • Hintergrundinformationen zum (neuen) Kirchlichen Datenschutzgesetz (KDG)

    Seit dem 25. Mai 2018 gilt die am 14. April 2016 durch das EU-Parlament beschlossene Datenschutzgrundverordnung (Verordnung (EU) 2016/679) kurz DSGVO. Nach Artikel 140 des Grundgesetzes gilt: „Jede Religionsgesellschaft ordnet und verwaltet ihre Angelegenheiten selbständig innerhalb der Schranken des für alle geltenden Gesetzes.“ Damit ist es möglich, dass die katholische Kirche als Körperschaft des öffentlichen Rechts eigene Regelungen zum Datenschutz aufstellt.

    Art. 91 Abs. 1 der DSGVO besagt zudem: „Wendet eine Kirche oder eine religiöse Vereinigung oder Gemeinschaft in einem Mitgliedstaat zum Zeitpunkt des Inkrafttretens dieser Verordnung umfassende Regeln zum Schutz natürlicher Personen bei der Verarbeitung an, so dürfen diese Regeln weiter angewandt werden, sofern sie mit dieser Verordnung in Einklang gebracht werden.“

    Bisher galt die Kirchliche Datenschutzordnung (KDO) die nun durch ein an die DSGVO angepasstes Kirchliches Datenschutzgesetz (KDG) ersetzt wurde. Das KDG wurde am 20.11.2017 von der Vollversammlung des Verbandes der Diözesen Deutschlands einstimmig beschlossen. Die Kirchenvorstände im Erzbistum Berlin wurden mit Schreiben vom 15.02.2018 davon in Kenntnis gesetzt. Die Veröffentlichung im Amtsblatt des Erzbistums Berlin erfolgte im Mai 2018 (Anlage ABl. 3/2018 Erzbistum Berlin)

    Hinweis: Es kann durch die Vollversammlung des Verbandes der Diözesen Deutschlands innerhalb der nächsten drei Jahren auch zu Änderungen am KDG kommen.

  • Geltungsbereich: Für wen gelten KDG und DSGVO?

    Fallen katholische Einrichtungen, Gemeinschaften und Vereine unter das Kirchliche Datenschutzgesetz (KDG) oder unter die Datenschutzgrundverordnung (DSGVO)?

    Katholische Einrichtungen, Gemeinschaften und Vereine fallen unter das Kirchliche Datenschutzgesetz (KDG), geregelt in § 3 KDG. Dies schließt auch dem Kirchenrecht (CIC) zugeordnete Kinder- und Jugendverbände ein.

    § 3 Organisatorischer Anwendungsbereich:

    1. Dieses Gesetz gilt für die Verarbeitung personenbezogener Daten durch folgende kirchliche Stellen:
      a) die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände,
      b) den Deutschen Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen
      und ihre Fachverbände ohne Rücksicht auf ihre Rechtsform,
      c) die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform.
  • Inwiefern weichen EU-DSGVO und KDG voneinander ab?

    ""Die EU-DSGVO und das KDG sind zu einem großen Teil wortgleich. Um den erforderlichen Einklang mit der Verordnung herzustellen, sind die meisten Regelungen der EU-DSGVO wörtlich übernommen worden. Abweichungen ergeben sich in der Regel dort, wo kirchliche Interessen und Aufgaben eine Rolle spielen, kirchliche Strukturen Änderungen erforderlich machen oder kirchliche Besonderheiten zu berücksichtigen sind.

    So wurde beispielsweise die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft, die nach der EU-DSGVO unter die besonderen Kategorien personenbezogener Daten zu fassen ist, im KDG ausdrücklich aus den besonderen Kategorien personenbezogener Daten herausgenommen. Würde es sich bei der Zugehörigkeit zur Katholischen Kirche, bei der es sich um eines der grundlegenden personenbezogenen Daten handelt, die im Bereich der katholischen Kirche verarbeitet werden, um eine besondere Kategorie personenbezogener Daten handeln, wäre eine Verarbeitung grundsätzlich unzulässig bzw. nur unter bestimmten sehr engen Voraussetzungen zulässig.

    An zahlreichen Stellen, z. B. bei der Frage der Rechtmäßigkeit der Verarbeitung personenbezogener Daten, finden „kirchliche Interessen“ oder der „Auftrag der Kirche“ ausdrückliche Erwähnung. 

    Die Höhe der Geldbußen bei Verstößen gegen das KDG weicht deutlich von den in der EU-DSGVO vorgesehenen Höhen der Geldbußen ab. Während die EU-DSGVO je nach Art des Verstoßes Geldbußen in Höhe von bis zu 10.000.000 Euro/ 20.000.000 Euro bzw. von bis zu 2 Prozent/4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres vorsieht, betragen Geldbußen nach dem KDG höchstens 500.000 Euro. Hintergrund dieser Abweichung ist, dass der Umsatz der meisten kirchlichen Einrichtungen deutlich geringer ist als bei staatlichen oder privatwirtschaftlichen Unternehmen. 

    Darüber hinaus dürfen gegen kirchliche Stellen, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, keine Geldbußen verhängt werden. Dies gilt allerdings nicht, soweit sie als Unternehmen am Wettbewerb teilnehmen. Das BDSG enthält eine insoweit vergleichbare Vorschrift in § 43 Abs. 3 BDSG, als dort festgelegt ist, dass gegen Behörden und sonstige öffentliche Stellen im Sinne des § 2 Abs. 1 BDSG keine Geldbußen verhängt werden.

    Abweichungen ergeben sich beispielsweise auch hinsichtlich der Datenschutzaufsicht: Die §§ 42 ff. KDG schreiben unter Berücksichtigung der kircheneigenen Strukturen eine kircheneigene Datenschutzaufsicht vor, die allerdings den Vorgaben der EU-DSGVO entspricht und für die das KDG insbesondere eine größtmögliche Unabhängigkeit der Datenschutzaufsicht festschreibt.""

    Quelle: "Häufig gestellte Fragen – neues Kirchliches Datenschutzgesetz (KDG)" - Verband der Diözesen Deutschlands, Körperschaft des öffentlichen Rechts, als Rechtsträger der Deutschen Bischofskonferenz

  • KDG: Die wichtigsten Paragraphen auf einen Blick

    Alle Paragraphen im KDG haben ihre Berechtigung und müssen beachtet werden!

    Die vielleicht am Anfang zunächst relevantesten Paragraphen aus dem Kirchlichen Datenschutzgesetz (KDG) im Alltag für Kirchengemeinden und kirchliche Einrichtungen sind:

    • § 6 Rechtmäßigkeit der Verarbeitung personenbezogener Daten
    • § 7 Grundsätze für die Verarbeitung personenbezogener Daten
    • § 8 Einwilligung
    • § 9 Offenlegung gegenüber kirchlichen und öffentlichen Stellen
    • § 10 Offenlegung gegenüber nicht kirchlichen und nicht öffentlichen Stellen
    • § 11 Verarbeitung besonderer Kategorien personenbezogener Daten

     Nicht weniger wichtig sind auch die folgenden Paragraphen:

    • § 15 Informationspflicht bei unmittelbarer Datenerhebung
    • § 16 Informationspflicht bei mittelbarer Datenerhebung
    • § 17 Auskunftsrecht der betroffenen Person
    • § 18 Recht auf Berichtigung
    • § 19 Recht auf Löschung
    • § 23 Widerspruchsrecht
    • § 33 Meldung an die Datenschutzaufsicht
    • § 35 Datenschutz-Folgenabschätzung und vorherige Konsultation

  • Wer benötigt einen betrieblichen Datenschutzbeauftragten?

    Nach dem KDG (§ 36 Benennung von betrieblichen Datenschutzbeauftragten) haben die Diözese, die Kirchengemeinden, die Kirchenstiftungen und die Kirchengemeindeverbände schriftlich einen betrieblichen Datenschutzbeauftragten zu bestellen § 36 KDG Abs. 1.

    Die Meldung kann auch online erfolgen:

    meldungen.katholisches-datenschutzzentrum.de/?post_type=dsbeauftragter&mandant=ost

    Für den Deutschen Caritasverband, die Diözesan-Caritasverbände, ihre Untergliederungen
    und ihre Fachverbände ohne Rücksicht auf ihre Rechtsform, die kirchlichen Körperschaften, Stiftungen, Anstalten, Werke, Einrichtungen und die sonstigen kirchlichen Rechtsträger ohne Rücksicht auf ihre Rechtsform gilt
    nach § 36 Abs. 2 KDG:

    (2) Kirchliche Stellen im Sinne des § 3 Absatz 1 lit. b) und c) KDG benennen schriftlich einen betrieblichen Datenschutzbeauftragten, wenn

    • a) sich bei ihnen in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigen,
    • b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
    • c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß § 12 KDG besteht.

     

    Anmerkung: Die Kirchenvorstände im Erzbistum Berlin wurden mit Schreiben vom 27.11.2018 davon in Kenntnis gesetzt, dass das Erzbistum Berlin mit der datenschutz nord GmbH einen Vertrag über Datenschutz-Dienstleistungen geschlossen hat. Seit dem 01.01.2019 ist Herr Dr. Uwe Schläger von der datenschutz nord GmbH als gemeinsamer betrieblicher Datenschutzbeauftragter für das Erzbistum Berlin und die katholischen Kirchengemeinden im Erzbistum Berlin bestellt. Die datenschutz nord GmbH wird verschiedene Dienstleistungen für die Kirchengemeinden auf Kosten des Erzbistums Berlin erbringen.

    Der Rahmenvertrag mit den Dienstleistungen ist im Intranet unter Rabatte, Rahmenverträge des Erzbistums Berlin eingestellt (Anmeldung erforderlich).

  • Zuständiger Diözesandatenschutzbeauftragte

    Wer ist der zuständige Diözesandatenschutzbeauftragte und welche Aufgaben hat dieser?

    Diözesandatenschutzbeauftragter für die ostdeutschen (Erz-)Bistümer ist:

    Herr Matthias Ullrich
    Chausseestraße 1
    39218 Schönebeck
    (03928) 7 28 71 81
    matthias.ullrich@datenschutzbeauftragter-ost.de
    www.datenschutzbeauftragter-ost.de

     „Der Diözesandatenschutzbeauftragte wird unmittelbar vom Bischof bestellt und ist in seiner Amtswahrnehmung unabhängig. Zu seinen Aufgaben gehören die Beratung der bischöflichen Behörden und anderer Dienststellen und Einrichtungen in Fragen des Datenschutzes der katholischen Kirche. Ferner erstellt er Berichte und Gutachten zu datenschutzrechlichen Fragen. Er arbeitet mit den Diözesandatenschutzbeauftragten der anderen Bistümer sowie mit der Bundesdatenschutzbeauftragten und den Datenschutzbeauftragten der Länder zusammen. Darüber hinaus ist er der Ansprechpartner für die Betroffenen, die sich durch die kirchliche Datenverarbeitung in ihren Rechten verletzt fühlen“

    Siehe § 42 KDG und folgende.

  • Wo und wie können Datenschutzverletzungen gemeldet werden?

    Bei möglichen Datenschutzverletzungen im Erzbistum Berlin wenden Sie sich bitte an den zuständigen Diözesandatenschutzbeauftragten. Auf der Webseite des Diözesandatenschutzbeauftragten (www.datenschutzbeauftragter-ost.de) finden Sie die entsprechenden Kontaktmöglichkeiten. Aktuell steht dort auch ein Formular zur Meldung einer Datenschutzverletzung nach § 33 KDG zur Übermittlung bereit.

    Formular zur Meldung einer Datenschutzverletzung nach § 33 KDG:
    meldungen.katholisches-datenschutzzentrum.de/?post_type=dsverletzung&mandant=ost

     

    Zuständig sind die kirchlichen Gerichte in Datenschutzangelegenheiten: Erste Instanz ist das Interdiözesane Datenschutzgericht, zweite Instanz ist das Datenschutzgericht der Deutschen Bischofskonferenz. Nähere Informationen finden sich unter „Kirchliche Gerichte in Datenschutzangelegenheiten“.

  • Welche Strafen sind bei Datenschutzverletzungen möglich?

    Das KDG sieht Geldbußen von bis zu 500.000 Euro vor.

    Näheres regelt § 51 KDG - Geldbußen.

  • Was sind personenbezogene Daten?

    „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann (...)

    Quelle: § 4 Abs. 1 KDG

  • Was sind besondere Kategorien personenbezogener Daten?

    „Besondere Kategorien personenbezogener Daten“ sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

    Die Zugehörigkeit zu einer Kirche oder Religionsgemeinschaft ist keine besondere Kategorie personenbezogener Daten.

    Quelle: § 4 Abs. 2 KDG

  • Welche Daten dürfen veröffentlicht werden?

    Es gilt grundsätzlich das Verbot der Verarbeitung personenbezogener Daten mit Erlaubnisvorbehalt (§ 6 KDG).

    Zur Veröffentlichung von personenbezogenen Daten benötigen Sie eine explizite, schriftliche Einwilligung (§ 8 Abs. 2 KDG) der betroffenen oder der Sorgeberechtigten. Dies gilt für alle Arten von Veröffentlichungen, also auch für Pfarrbriefe, Vermeldungen, Aushänge, dem Internet, anderen Medien oder anderen Veröffentlichungen.

     

    Nach Aussagen des Diözesandatenschutzbeauftragten der ostdeutschen Bistümer stellt die im Amtsblatt Nr. 139 veröffentlichte "Ordnung zur Veröffentlichung kirchlicher Amtshandlungsdaten und Jubiläen" eine Rechtsvorschrift nach §6 Abs. 1 a KDG dar und hat deshalb weiterhin bestand (Bitte beachten Sie jedoch die dort enthaltenen Regelungen!).


    Hilfreiche Fragestellungen:

    • Gibt es eine gesetzliche Grundlage zur Verarbeitung der personenbezogenen Daten?
    • Wann hat der betroffene der Datenverarbeitung und Veröffentlichung explizit zugestimmt?
    • Weiß die betroffene Person von der Datenverarbeitung und Veröffentlichung?
    • Was genau ist die mit der Veröffentlichung gewollte Zweckbindung oder welche Erfüllung einer rechtlichen Verpflichtung liegt hier vor?
    • Wie lässt sich die Veröffentlichung auch in Bezug auf die Vereinbarkeit von Datensparsamkeit und Datenvermeidung begründen?
  • Veröffentlichung von (personenbezogenen) Fotos und anderen Medien

    Aktualisierung: Mit der Sitzung vom 04.04.2019 gibt es einen (neuen) Beschluss der Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschland zum Umgang mit Bildern von Kindern und Jugendlichen: https://www.datenschutz-kirche.de/sites/default/files/file/NEU/Beschluesse_DDSB/2019_04_04_Beschluss_zum_Umgang_mit_Bildern_von_Kindern_und_Jugendlichen.pdf

     

    Das Kirchliche Datenschutzgesetz (KDG) geht davon aus, dass man in jedem Fall eine schriftliche Einwilligung der aufgenommenen Personen benötigt (§ 8 Abs. 2 KDG - Einwilligung).

    Darüber hinaus hat die Konferenz der Diözesandatenschutzbeauftragten beschlossen, dass für die Veröffentlichung von Bildern von Kindern bis zur Vollendung des 16. Lebensjahres die vorherige Einwilligung der Sorgeberechtigten unter Vorlage der jeweils zur Veröffentlichung vorgesehenen Bilder einzuholen ist (17. April 2018).

    Quelle: datenschutzbeauftragter-ost.de/o.red/theme/files/datei/1527001164-BeschlussDDSBzurVerffentlichungvonFotosvonKindernundJugendlich....pdf

    "Erläuterungen zu Fragen des Umgangs mit Bildern und Fotografien" von den Diözesandatenschutzbeauftragten für Hamburg

    Empfehlung: Weisen Sie bei Veranstaltungen im Begleitheft und Rund um die Veranstaltung darauf hin (Hinweisschilder), wenn Foto-, Video- oder Audioaufnahmen zu Journalistischen oder historischen Zwecken gemacht werden.

    Dokumente:

  • Gibt es eine Hilfestellung für den alltäglichen Gebrauch?

    Die beiden folgenden Tabellen können eine gute Hilfestellung zum datenschutzgerechten Umgang bieten:

    Autor: Der Diözesandatenschutzbeauftragte für die norddeutschen (Erz-)Bistümer (www.datenschutz-kirche.de)
    Quelle: KDG-Praxishilfe 17 - "Rechtmäßigkeit der Verarbeitung/Einwilligung", Seite 8 und 9
    Herausgegeben von der Konferenz der Diözesandatenschutzbeauftragten der Katholischen Kirche Deutschlands
    www.datenschutz-kirche.de/sites/default/files/file/NEU/Infothek/2018_PH/Praxishilfe_17_KDG_Rechtm%C3%A4%C3%9Figkeit_der_Verarbeitung_Einwilligung_2.0.pdf

  • Empfehlungen für Kindertagesstätten

    Der Diözesandatenschutzbeauftragte der Ostdeutschen Bistümer Matthias Ullrich hat auf seiner Internetseite verschiedene Veröffentlichungen (aus der Arbeitskommission) speziell für Kindertagesstätten:

  • Internetseiten

    Maßnahmen für die eigene Webseite

    Verschlüsselter Webseitenaufruf (HTTPS):
    Der Aufruf einer Webseite per HTTPS und der damit verbundenen verschlüsselten Übertragung ist heute Standard und bei Formularen oder anderen Übertragungen von personenbezogenen Daten auf einer Webseite verpflichtend (vgl. § 13 Telemediengesetz (TMG) - Pflichten des Diensteanbieters).

    KDG Konformität:
    Alle Inhalte (unabhängig davon ob Fotos, Videos, Artikel, Dokumente oder anderes) auf der Webseite müssen die Anforderungen des Kirchlichen Datenschutzgesetzes erfüllen, dies gilt auch für bereits früher publizierte Inhalte!

    Neben dem Impressum muss Ihre Webseite auch eine Datenschutzerklärung besitzen.
    Die Datenschutzerklärung muss ausführlich aufführen, welche Daten beim Besuch und bei der Nutzung der Webseite erhobenen und verwendetet werden. Dabei müssen auch genutzte Social-Media-Plugins, eventuell vorhandenes Web-Tracking, Mailformulare oder andere genutzte Dienste eine Rolle spielen. Außerdem muss der Nutzer über seine entsprechenden Rechte aufgeklärt werden. Als Hilfestellung zur Umsetzung einer Datenschutzerklärung kann das nachfolgende Dokument oder verschiedene DSGVO konforme Datenschutzgeneratoren dienen.

    Hinweis zum betrieblichen Datenschutzbeauftragten und den Diözesandatenschutzbeauftragten
    Weisen Sie nach Möglichkeit (Absprache und Genehmigung) in Ihrer Datenschutzerklärung darauf hin, wer Ihr betrieblicher Datenschutzbeauftragter ist und wie dieser erreicht werden kann.
    Hilfreich ist zudem ein Verweis auf die zuständige Aufsichtsbehörde (den Diözesandatenschutzbeauftragten).

    Cookie-Banner-Empfehlung:
    Es wird empfehlen einen sogenannten Cookie-Banner beim Besuch der Webseite einzublenden und dem Nutzer die Möglichkeit zu geben, das Tracking und / oder die Verwendung von Cookies zu unterbinden. Ein Hinweis zur Nutzung von Cookies mit Verweis auf eine existierende Datenschutzerklärung auf der Webseite ist eine abgeschwächte Form.

    Artikel: "So können Websitebetreiber Nutzer DSGVO-konform tracken" von Christiane Schulzki-Haddouti (Golem Media GmbH)

    Einbinden von Social-Media-Inhalten in die Webseite:
    Zum DSGVO / KDG konformen Einbinden von Social-Media-Inhalten - Share- und Like-Buttons, Tweets, YouTube-Videos oder Facebook-Inhalten empfiehlt sich das "heise online" Tool "embetty".
    GitHub - Quellcode: github.com/heiseonline/embetty
    Artikel: www.heise.de/newsticker/meldung/Embetty-Social-Media-Inhalte-datenschutzgerecht-einbinden-4060362.html

    Neue Gesetze zwingen zur Verschlüsselung
    Neue Gesetze verlangen, dass sensible Daten verschlüsselt werden. Das betrifft jedes Unternehmen und jede Behörde.
    Artikel: Oliver Diedrich (heise.de) - "Neue Gesetze zwingen zur Verschlüsselung" (25.01.2019)

  • Newsletter

    Jeder Versender eines Newsletters benötigt eine nachweisbare (beispielsweise durch anklicken eines Bestätigungslinks oder Unterschrift auf einer Liste) Einwilligung des Empfängers und muss diesen auch auf seine Widerspruchsmöglichkeit hinweisen.

    Deshalb sollte jeder Newsletter auch eine Abmeldemöglichkeit/einen Abmeldelink als Widerspruch enthalten.

  • WhatsApp + iMessage

    Warum ist WhatsApp nicht KDG konform und wie lösche ich meinen Account richtig?!

    Die Datenschutzkoordinatorin des Erzbischöflichen Ordinariates hat die Mitarbeiterinnen und Mitarbeiter am 1. März 2018 darüber in Kenntnis gesetzt, dass in Abstimmung mit dem Generalvikar Pater Manfred aus Gründen des Datenschutzes:

    „die Nutzung von Messenger-Diensten wie beispielsweise Whatsapp,
    iMessage für dienstliche Zwecke untersagt ist.“

    Entscheidung der Datenschutzbeauftragten der Katholischen Kirche: "Datenschutzaufsicht der katholischen Kirche erklärt die Nutzung von What´s App und weiteren Messanging Diensten für unvereinbar mit der Kirchlichen Datenschutzordnung (DVO)" (06.06.2017).
    www.datenschutzbeauftragter-ost.de/o.red/theme/files/datei/1496738076-WhatsApp.pdf

    Urteil: "Amtsgericht Bad Hersfeld Urteil zur Verantwortlichkeit bei der Nutzung von WhatsApp" datenschutzbeauftragter-ost.de/o.red/theme/files/datei/1500621770-UrteilNutzungvonWhatsApp.pdf

    Achtung: Ein einfaches Löschen der App vom Handy löscht NICHT den Account, dieser besteht weiterhin.

    "Zur Account-Löschung von WhatsApp gehen Sie in der App folgendermaßen vor:

    Um deinen Account zu löschen

    1. Öffne WhatsApp.
    2. Tippe auf die Menütaste > Einstellungen > Account > Meinen Account löschen.
    3. Gib deine Telefonnummer im vollständigen internationalen Format ein und tippe dann auf Meinen Account löschen."

    Quelle & weitere Informationen: faq.whatsapp.com/it/android/21119703/?lang=de

     

    "Zur Account-Löschung / Deaktivierung von iMessage gehen Sie folgendermaßen vor:

    Siehe "Befolgen Sie die Schritte unten, um die Registrierung Ihrer Telefonnummer aufzuheben." unter selfsolve.apple.com/deregister-imessage/de/de.

  • Nutzung von anderen Messenger-Diensten

    In Abstimmung mit dem Generalvikar Pater Manfred sowie dem Diözesandatenschutzbeauftragten der ostdeutschen (Erz-) Bistümer und dem betrieblichen Datenschutzbeauftragten Datenschutz Nord GmbH, dürfen die Mitarbeiter des Erzbischöflichen Ordinariats Berlin für dienstliche Zwecke den Messenger-Dienst Wire (https://wire.com) für alle stationären und mobilen Endgeräte nutzen. (Stand: 10.07.2018)

    Siehe auch: SIMSme Business
    https://www.wgkd.de/rahmenvertragsgruppenkategorie/telekommunikation.html

     

    Hilfreiche Informationen zu eventuell DSGVO Konformen Messengern gibt es auch im Heise-Beitrag von Cornelia Möhring "WhatsApp-Alternativen: Welche Messenger gibt es?".

     

  • Angemessenheitsbeschlüsse der EU / Europäische Kommission

    "Die Kommission hat Angemessenheitsbeschlüsse für folgende Länder und Gebiete verabschiedet:

    • Andorra
    • Argentinien
    • Färöer
    • Guernsey
    • Isle of Man
    • Israel
    • Jersey
    • Kanada
    • Neuseeland
    • Schweiz
    • Uruguay
    • Japan (2019-02)
    • Vereinigte Staaten (EU-US-Datenschutzschild).

    Bei den Beschlüssen zu Kanada und den Vereinigten Staaten handelt es sich um „Teilbeschlüsse“. Der
    Beschluss betreffend Kanada gilt nur für private Unternehmen, die unter den „Personal Information
    Protection and Electronic Documents Act“ fallen. Bei dem Rahmen für den EU-US-Datenschutzschild
    handelt es sich um ebenfalls um einen Angemessenheits-„Teilbeschluss“, da wegen des Fehlens eines
    allgemeinen Datenschutzgesetzes in den Vereinigten Staaten nur Unternehmen, die sich zur Einhaltung
    der bindenden Grundsätze des Datenschutzschildes verpflichten, in den Genuss einfacherer
    Datenübertragungen kommen."

    Quelle: Europäische Kommission - Factsheet "Fragen und Antworten zum Angemessenheitsbeschluss in Bezug auf Japan" (17. Juli 2018)

  • Sind Unternehmen im EU-US Privacy Shield automatisch KDG / DSGVO konform?

    Nein.

    Das KDG sieht vor, dass die Übermittlung an oder in ein Drittland zulässig ist wenn ein Angemessenheitsbeschluss der Europäischen Kommission vorliegt.
    Diesen Beschluss gibt es aktuell nicht (vgl. §§ 40, 41 KDG).

    „Der EU-US Privacy Shield (auch EU-US-Datenschutzschild) ist eine informelle Absprache auf dem Gebiet des Datenschutzrechts, die 2015 bis 2016 zwischen der Europäischen Union und den Vereinigten Staaten von Amerika ausgehandelt wurde. Sie besteht aus einer Reihe von Zusicherungen der US-amerikanischen Bundesregierung und einem Beschluss der EU-Kommission.“
    Quelle: de.wikipedia.org/wiki/EU-US_Privacy_Shield

     

    Unternehmen die das EU-US Privacy Shield unterzeichnet haben finden sich unter: www.privacyshield.gov/list


    Eine Garantie, dass sich Unternehmen mit der freiwilligen Verpflichtung zum EU-US Privacy Shield auch immer an die entsprechenden Regelungen halten gibt es nicht. Kritisiert wird, dass US Gesetze und Dekrete des US-Präsidenten (Executive Order) die Vereinbarung umgehen können und bisher keine angemessenen Maßnahmen zur Sicherstellung der Rechte von EU Bürgern existieren.
    Weiter Informationen:

     

    Hinzu kommt, dass ein neues Gesetzt in den USA, der sogenannte "CLOUD Act", US-amrikanische Unternehmen zur Herausgabe von Daten verpflichtet, auch wenn diese Daten außerhalb der USA, beispielsweise in Irland / Europa gespeichert werde. Das ist nicht vereinbar mit der europäischen Datenschutz-Grundverordnung (EU-DSGVO).

     

  • Sind Unternehmen aus Japan (JEFTA-Abkommen) automatisch KDG / DSGVO konform

    Eigentlich JA.

    "Der Austausch personenbezogener Daten zwischen der EU und Japan ist seit dem 23. Januar 2019 uneingeschränkt erlaubt. In einem sogenannten Angemessenheitsbeschluss sei ein gleichwertiges Datenschutzniveau zwischen dem Europäischen Wirtschaftsraum und Japan festgestellt worden, teilte die EU-Kommission mit"

    [...] "Mit Japan wurde erstmals eine Vereinbarung auf Basis der im Mai 2018 in Kraft getreteten EU-Datenschutz-Grundverordnung (DSGVO) geschlossen."

    [...] "Zum Europäischen Wirtschaftsraum gehören neben den 28 EU-Staaten auch Norwegen, Liechtenstein und Island. Sollte Großbritannien Ende März 2018 ohne eine Vereinbarung aus der EU ausscheiden, könnten Daten nicht mehr wie gewohnt auf die Insel transferiert werden."

    Quelle: Friedhelm Greis (Golem.de) - "Datenaustausch mit Japan uneingeschränkt möglich" (24.01.2019)

     

    Weitere Links dazu:

  • Empfehlungen und Alternativen

    Alternative zum Google Kalender oder Doodle:

     

  • Für wen gilt das Medienprivileg des § 55 KDG?

    ""Art. 85 EU-DSGVO enthält keine eigenständige Regelung des Medienprivilegs, sondern lediglich einen Auftrag an die Mitgliedstaaten der Europäischen Union, sofern erforderlich durch Rechtsvorschriften das Recht auf den Schutz personenbezogener Daten mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit in Einklang zu bringen. Ein regelmäßiger Vorrang der Presse-, Rundfunk- und Medienfreiheit soll demnach nicht festgeschrieben werden. Stattdessen ist ein angemessener Ausgleich zwischen den o. g. Grundrechten anzustreben, wenn diese in Widerstreit geraten. Dabei ist dem Recht auf freie Meinungsäußerung Rechnung zu tragen; Begriffe wie „Journalismus“, die sich auf diese Freiheit beziehen, sind weit auszulegen: Im Zweifel sind z. B. auch Blogger und andere von diesem journalistischen Privileg geschützt.

    Dem Regelungsauftrag des europäischen Rechts ist der kirchliche Gesetzgeber mit § 55 KDG nachgekommen: Diese Norm regelt, dass die Vorschriften des KDG nur eingeschränkt gelten, soweit personenbezogene Daten von kirchlichen Stellen ausschließlich zu eigenen journalistisch-redaktionellen oder literarischen Zwecken verarbeitet werden. Die gewählte Terminologie entstammt dem früheren Bundesdatenschutzgesetz (vgl. § 41 BDSG a.F.).  Der Bundesgerichtshof (BGH) hat hierzu in seiner sogenannten Spickmich-Entscheidung vom 23. Juni 2009 (VI ZR 196/08) ausgeführt, dass von einer journalistisch-redaktionellen Gestaltung erst ausgegangen werden kann, „wenn die meinungsbildende Wirkung für die Allgemeinheit prägender Bestandteil des Angebots und nicht nur schmückendes Beiwerk ist“.

    Vor diesem Hintergrund sind insbesondere Beiträge klassischer kirchlicher Medienunternehmen (z. B. „Domradio“) unter § 55 KDG zu fassen. In der Regel dürften auch die Kerntätigkeiten der kirchlichen Pressestellen unter § 55 KDG fallen.

    Ob dies generell auch für kirchliche „Kommunikationsabteilungen“ angenommen werden kann, dürfte im Einzelfall nicht funktions- bzw. stellenbezogen, sondern beitragsbezogen zu beurteilen sein: Letztlich wird es wohl darauf ankommen, ob der einzelne Beitrag als journalistisch-redaktionell im Sinne der vorgenannten BGH-Rechtsprechung zu verstehen und insbesondere für einen unbestimmten öffentlichen Personenkreis bestimmt ist. Vor diesem Hintergrund ist auch nicht ausgeschlossen, dass Pfarrbriefe § 55 KDG unterfallen. Hier dürfte es entscheidend darauf ankommen, ob diese sich im Einzelfall lediglich an die Gemeindemitglieder oder an einen öffentlichen, unbestimmbaren Personenkreis richten.

    In Bezug auf die anzusetzenden Maßstäbe wird auf die Entschließung der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder vom 9. November 2017 hingewiesen, in der der Gesetzgeber zwar aufgefordert wird, über Art. 85 EU-DSGVO Ausnahmen oder Abweichungen von den Regelungen der EU-DSGVO für journalistische Tätigkeiten zu schaffen. Es müsse jedoch sichergestellt werden, dass nicht „die Grundsätze des Datenschutzes im Journalismus in weitem Umfang ausgeschlossen werden“ oder „die Verarbeitung personenbezogener Daten durch Hilfsunternehmen zu undifferenziert vom Geltungsbereich der DSGVO ausgenommen wird, ohne dass diese Aktivitäten unmittelbar der journalistischen Tätigkeit dienen“.""

    Quelle: "Häufig gestellte Fragen – neues Kirchliches Datenschutzgesetz (KDG)" - Verband der Diözesen Deutschlands, Körperschaft des öffentlichen Rechts, als Rechtsträger der Deutschen Bischofskonferenz

  • Weitere Informationen und Links

     

    Arbeitshilfen, Formulare und Beschlüsse:

     

    Artikel:

     

  • Welche Schulungsmaßnahme zum Datenschutz hat das Erzbistum Berlin veranlasst?

    Die Pfarrer und Kirchenvorstände des Bistums wurden am 27. März 2018 darüber informiert, dass ein eLearning Angebot zum Thema Datenschutz zur Verfügung stand.

    „Um Verantwortliche und Ehrenamtliche in den Kirchengemeinden für den Datenschutz zu sensibilisieren, bieten wir mit Unterstützung der datenschutz nord Akademie als Schulungsform ein elektronisches Lernen an.

    Mit datenschutz nord hat das Erzbistum Berlin vereinbart, dass je Kirchengemeinde vier Personen Zugang zum eLearning erhalten. Die Auswahl trifft der Vorsitzende des Kirchenvorstandes oder sein Stellvertreter. Die ausgewählten Personen sollten möglichst als Multiplikatoren fungieren. Die Schulung ist so konzipiert, dass ein durchschnittlicher Nutzer etwa 30 Minuten benötigt. Das eLearning wird in der Zeit vom 11. April bis zum 16. Mai 2018 angeboten. Am Ende können sich die Teilnehmenden ein Schulungszertifikat herunterladen. Das Zertifikat ist bei Mitarbeitenden zur Personalakte zu nehmen und bei Ehrenamtlichen beim Kirchenvorstand aufzubewahren.“

    Allen Mitarbeitenden mit einer @erzbistumberlin.de E-Mail-Adresse wurde ein elektronischer Zugang zur Schulung ermöglicht, sodass Pfarrer und Mitarbeiter nicht in das Limit der vier Personen gefallen sind.