Ab 24. Mai 2018: Was gehört in die Datenschutzerklärung entsprechend dem neuen Datenschutzgesetz der EKD?

Bild des Benutzers Nicola Rössert

EKD-DSG / DSGVOBisher ist es Pflicht, neben dem Impressum - auf einer separaten Seite - eine Datenschutzerklärung für Websites einzustellen, die gut sichtbar von allen Seiten verlinkt werden muss. Rechtsgrundlage dafür war bislang ausschließlich § 13 Abs. 1 TMG. Ab dem 25. Mai 2018 treten für dem staatlichen Bereich zuzurechnende Dienstanbieter daneben die Vorschriften des Art. 13 der Datenschutz-Grundverordnung (DSGVO) in Kraft. Diese gilt allerdings nicht für den kirchlichen Bereich. Hier gilt weiterhin ausschließlich das EKD-Datenschutzgesetz (DSG), das aber parallel zum Inkrafttreten der DSGVO zum 24. Mai 2018 novelliert wird. Dessen § 17 ist dem Art. 13 DSGVO erkennbar nachgebildet, so kann man sich an den Standards orientieren, die künftig auch für den dem staatlichen Recht unterworfenen Bereich gelten. Hier finden Sie alle Informationen der EKD rund um das Thema Datenschutz.

Im Austausch mit dem ELKB-Kirchenrechtsdirektor und dem EKD-Datenschutzbeauftragten der Datenschutzregion Süd sind wir dabei, für unsere Musterwebsites eine Datenschutz-Seite entsprechend der neuen Richtlinien einzurichten, die Sie dann individuell anpassen können und sollten. Wer bereits eine eigene Seite für die Datenschutzerklärung eingerichtet hat oder einrichten möchte, hat dann die Möglichkeit den Block "Datenschutz" im Footer zu deaktivieren bzw. deaktivieren zu lassen. Für Kirchengemeinden und kirchliche Einrichtungen, die unter das ab 24. Mai 2018 novellierte EKD-DSG fallen und für ihren Webauftritt (noch) keine Musterwebsite von uns nutzen, setzen wir derzeit in Absprache mit den entsprechenden Datenschutzbeauftragten außerdem einen Generator auf, mit dem ein Text für eine individuelle Datenschutzerklärung erstellt werden kann. Sobald die neue Datenschutz-Seite für die Musterwebsites und der Generator zur Verfügung stehen, wird dieser Blogbeitrag aktualisiert. (Wir weisen Sie jedoch darauf hin, dass die Ergebnisse des Generators sowie die voreingestellte Muster-Datenschutzerklärung keinen Anspruch auf Richtigkeit und/oder Vollständigkeit erheben und keine Rechtsberatung ersetzen können. Wenden Sie sich in Zweifelsfällen immer an einen im IT-Recht erfahrenen Rechtsanwalt.) Hier finden Sie außerdem einen Datenschutzerklärungs-Generator entsprechend der ab dem 25. Mai 2018 in Kraft tretenden DSGVO.
Falls Sie auf Ihrer Website ein Kontaktformular nutzen, sollten Sie Ihre Website unbedingt https-verschlüsseln. Bei unserer Musterwebsite Philippus 8 ist diese Verschlüsselung automatisch dabei, sollten Sie die ältere Version Philippus 7 nutzen, können Sie die Verschlüsselung nachträglich gegen den Aufpreis von jährlich 10,00 € (brutto, Stand Mai 2018) ab nächster Rechnungstellung hinzubuchen oder uns bitten, das Kontaktformular zu deaktivieren. Bitte nehmen Sie dann Kontakt mit uns auf.

Immer häufiger werden Gemeindebriefe, Protokolle und sonstige Niederschriften die personenbezogene Daten enthalten, im Internet als Download-Dokumente hinterlegt. Doch hier ist äußerste Vorsicht geboten! Das Recht kennt keine Rechtsgrundlage, die eine Bildveröffentlichung im Internet (nicht Gemeindebrief) zulassen würde. Es ist daher vor der Einstellung von Fotos von Personen in eine Website in jedem Fall die ausdrückliche Zustimmung der betroffenen Person bzw. des/der Sorgeberechtigten erforderlich (§ 11 DSG-EKD). Liegt sie nicht vor, ist die Veröffentlichung rechtswidrig. Zum Thema Urher- und Persönlichkeitsrecht gibt es einen eigenen Blogbeitrag.
Die Veröffentlichung von Namen von Gemeindegliedern, Privatanschriften, Geburtsdaten, privaten Telefonnummern usw. im Internet ist ebenfalls nur mit Zustimmung der betroffenen Person bzw. des/der Sorgeberechtigten rechtmäßig (§ 11 DSG-EKD). Sollten die Betroffenen nicht zustimmen, dann dürfen die Daten nicht veröffentlicht werden.
Das bedeutet: ohne Zustimmung müssen Bilder und sensible Daten aus dem Gemeindebrief genommen werden, bevor daraus das öffentlich zugängliche .pdf für die Website wird.
Da personenbezogene Daten weltweit abrufbar sind und von dritter Seite auch für andere Zwecke (z. B. Werbung) verwendet werden können, sollte auf eine Veröffentlichung im Internet ganz verzichtet werden.
Bereits im Internet veröffentlichte Gemeindebriefe, Protokolle und sonstige Niederschriften, die personenbezogene Daten enthalten, sind von der zuständigen Stelle daraufhin zu überprüfen, ob in jedem Fall die datenschutzrechtlichen Bestimmungen eingehalten wurden. Sollte dies nicht der Fall sein, sind sie unverzüglich aus dem Netz zu nehmen, raten die Datenschutzbeauftragten der ELKB und der Nordkirche. Der Datenschutzbeauftragte der Nordkirche hat eine Einwilligungserklärung zur Veröffentlichung dieser und anderer Daten verfasst.
Wenn Sie Daten von Nutzern einer Internetseite erfassen wollen, müssen Sie dem Nutzer die Möglichkeit geben, zuvor seine Zustimmung in nachvollziehbarer Art und Weise erteilen zu können. Dem Nutzer ist bekannt zu machen, welche Daten für welchen Zweck erhoben werden sollen.