Bundesebene News

Hinweise zum Datenschutz für Kolpingsfamilien

Die neue europäische Datenschutz-Grundverordnung (DS-GVO) sorgt für Unsicherheit und hektische Betriebsamkeit. Das Kolpingwerk Deutschland misst dem Datenschutz bereits seit langem eine große Bedeutung zu. Hier die wichtigen Neuerungen.

Hinweise zum Datenschutz für Kolpingsfamilien

Diese Hinweise dienen der Unterstützung der Kolpingsfamilien zur Gewährleistung des Datenschutzes. Aufbauend auf den gesetzlichen Regelungen zum Datenschutz geben wir praktische Empfehlungen zur Sicherung des Datenschutzes durch den Vorstand der Kolpingsfamilien.

Rahmenbedingungen zum Datenschutz

Am 25.05.2018 treten die europäische Datenschutz-Grundverordnung (DS-GVO) sowie das aktualisierte und darauf abgestimmte neue Bundesdatenschutzgesetz (BDSG a.F.) in Kraft. An erster Stelle steht die EU-Verordnung. Werden in dieser Verordnung zwingende Vorgaben gemacht, dürfen nationale Gesetze hiervon nicht abweichen. Lässt die Verordnung Gestaltungsspielräume offen, darf der nationale Gesetzgeber diese Spielräume ausfüllen. An zweiter Stelle steht das aktualisierte Bundesdatenschutzgesetz.

Viele Grundsätze des Datenschutzes, die bereits jetzt Gültigkeit haben, sind auch in der DS-GVO vorgesehen und bleiben erhalten. Zuständig für die Kontrolle zur Einhaltung des Datenschutzes sind weiterhin die Datenschutzbeauftragten der jeweiligen Bundesländer.

Neu ist vor allem eine Veränderung in der Nachweispflicht zum Datenschutz. Jeder Verein muss jederzeit den Nachweis erbringen können, dass er die Datenverarbeitung nach den gesetzlichen Rahmenbedingungen gewährleistet (hat). Dazu ist u.a. ein Verzeichnis der Verarbeitungsvorgänge zu führen und je nach Anzahl der Personen der automatisierten Datenverarbeitung ein/e Datenschutzbeauftragte/r zu benennen. Die Aufsichtsbehörden können zukünftig Verstöße gegen den Datenschutz u.a. mit Geldstrafen oder auch mit dem Verbot der Datenverarbeitung ahnden.

Grundsätzlich gilt für den Datenschutz: Es sollen so wenige Informationen wie möglich gesammelt werden. Nur jene Daten dürfen erhoben werden, die tatsächlich gebraucht werden. Die Daten müssen so sicher gespeichert werden, dass unbefugter und unrechtmäßiger Zugriff, aber auch versehentlicher Verlust der Daten nicht möglich ist. Die Speicherung hat so lange zu erfolgen, wie die Daten tatsächlich gebraucht werden. Die Daten dürfen für keinen Zweck verwendet werden, der nicht mit dem ursprünglichen Zweck vereinbar ist.

Um diese Verpflichtung zu dokumentieren, haben bisher schon alle Kolpingsfamilien und die von ihnen beauftragten zuständigen Personen für das Mitglieder- und Beitragswesen bei Nutzung der internetgestützten Mitgliedersoftware eVewa ein entsprechendes Formular zur Wahrung des Datenschutzes unterschrieben, erst danach erfolgte die Freischaltung für die eVewa.

Zum Datenschutz wird derzeit in vielfacher Weise informiert. Als guter Einstieg in den Datenschutz für Vereine eignet sich besonders die aktuelle Broschüre „Datenschutz im Verein nach der Datenschutzgrundverordnung (DS-GVO)“ des Landesbeauftragten für Datenschutz von Baden-Württemberg. Diese Broschüre kann im Internet abgerufen werden oder auf Nachfrage per Email unter datenschutz-bundessekretariat[at]kolping.de zugemailt werden. Die Gesetzestexte sind erhältlich unter https://dsgvo-gesetz.de und https://dsgvo-gesetz.de/bdsg-neu.

Für die Kolpingsfamilien kommt die Kirchliche Datenschutzordnung (KDO) nicht zur Anwendung. Die Kirchliche Datenschutzordnung hat vor allem die Diözesen, Kirchengemeinden und Caritasverbände im Blick. Als Rechtsrahmen gilt für die Kolpingsfamilien – wie zu Beginn erläutert – die Datenschutz-Grundverordnung (DS-GVO) sowie das neue Bundesdatenschutzgesetz (BDSG a.F.).

Mitgliedschaft in der Kolpingsfamilie und im Kolpingwerk Deutschland

Die Mitglieder der Kolpingsfamilie sind gleichzeitig Mitglied im Kolpingwerk Deutschland (§ 3 Ziffer 4 Mustersatzung für Kolpingsfamilien: „Die Mitglieder der Kolpingsfamilie sind zugleich Mitglieder des Kolpingwerkes Deutschland und damit des Internationalen Kolpingwerkes.“).

Das Kolpingwerk Deutschland gewährleistet zusammen mit den Kolpingsfamilien die Mitgliederverwaltung. Dazu werden die zentrale Mitglieder-Software Vewa und die internetbasierte eVewa genutzt. Der Austausch von personenbezogenen Daten der Mitglieder zwischen den Kolpingsfamilien und dem Kolpingwerk Deutschland dient der gemeinsamen Mitgliederverwaltung. Bei der Kommunikation zu den Mitgliederdaten zwischen dem Kolpingwerk Deutschland und den Kolpingsfamilien handelt es sich damit um keine Weiterleitung von Mitgliederdaten im Sinne der DS-GVO. Das Kolpingwerk Deutschland und die Kolpingsfamilien tragen gemeinsam Sorge, dass jederzeit der Datenschutz für die Daten der Mitglieder gewahrt wird. Die Daten werden wie auf dem Aufnahmeantrag für Mitglieder angegeben genutzt:

„Das Kolpingwerk Deutschland speichert die im Aufnahmeantrag abgefragten Daten im vereinsinternen EDV-System VEWA unter Zuordnung einer Mitgliedsnummer sowie im Kolpingregister des Kolpingwerkes Deutschland gemäß § 7 Organisationsstatut. Mein Name und meine Adresse werden auf Anfrage an Untergliederungen des Kolpingwerkes Deutschland gemäß Organisationsstatut weitergegeben, die im Kolpingregister geführt sind. Bei Personalverbänden erhalten einzelne Personen, die besonders auf den Datenschutz verpflichtet sind, Zugriff auf diese Daten über die Software eVEWA. Die vorstehenden Bestimmungen habe ich gelesen und willige mit dem Aufnahmeantrag in die dort vorgesehenen Datenverarbeitungsvorgänge ein.“

Damit wird eine verbandsinterne Kommunikation auf allen Ebenen des Verbandes sowie eine Information und Werbung zu den Aktivitäten und Projekten der Untergliederungen des Kolpingwerkes Deutschland ermöglicht. Dies betrifft Kolpingsfamilien, Bezirksverbände, regionale Zusammenschlüsse, Diözesan- und Landesverbände / Regionen sowie die Rechtsträger, Einrichtungen und Unternehmen im Kolpingwerk Deutschland. Analog gilt dies für Kolping International.

Rechtsbegriffe im Datenschutz

Das Datenschutzrecht ist technisch formuliert. Die folgenden Begriffe sind dabei besonders wichtig:

  • Personenbezogene Daten: Dieser Begriff ist ein Kernbegriff des Datenschutzrechts. Das Gesetz versteht hierunter alle Informationen, die sich auf eine natürliche Person beziehen. Dies sind z.B. folgende Informationen: Name, Anschrift, Telefonnummer und E-Mail, Familienstand und Kinder, Daten zur Mitgliedschaft, Religionszugehörigkeit, Geburtsdatum, Bilder, Fotographien und Videos, Beruf.
  • Verarbeitung (von Daten): Bisher wurden Erhebung, Verarbeitung und Nutzung unterschieden. Dies fällt nun unter den einheitlichen Begriff der Verarbeitung. Gemeint ist damit die Abfrage, das Speichern, das Weitergeben, das Auslesen, das Vernichten von Daten etc. Dabei kommt es nicht darauf an, ob die Daten automatisiert (Erfassung über EDV) verarbeitet oder nicht-automatisiert (Vordrucke, Formulare, die handschriftlich ausgefüllt werden) verarbeitet werden.
  • Verantwortliche/r: Der/die Verantwortliche ist zentraler Adressat der Datenschutzgrundverordnung und letztlich dafür verantwortlich, dass die Vorgaben des Datenschutzes auch eingehalten werden. Für die Kolpingsfamilie ist dies der Vorstand der Kolpingsfamilie, vertreten durch vertretungsberechtigte Personen wie die/der Vorsitzende, die stellv. Vorsitzenden oder Mitglieder des Leitungsteams.

Empfehlungen für die Kolpingsfamilien

Wir empfehlen den Kolpingsfamilien, dem Datenschutz weiterhin eine große Beachtung zu schenken, damit im Sinne aller Kolping-Mitglieder die persönlichen Daten jederzeit vertraulich behandelt werden und geschützt sind. Mit Blick auf die Veränderungen im Datenschutz geben wir folgende Handlungshinweise:

1.    Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten;
2.    Beschlussfassung zur Begrenzung der Zuständigen für die Mitglieder- und Beitragsverwaltung - kein Datenschutzbeauftrage/r;
3.    Aufnahmeanträge;
4.    Datenschutzerklärung für die Homepage;
5.    Impressum für die Homepage;
6.    Klärung der Auftragsverarbeitung bei fremden Dritten.

zu 1.: Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

Art. 30 Abs. 1 DS-GVO verpflichtet Verantwortliche, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen. Damit ist eine schriftliche Niederlegung vorgeschrieben, die bei Bedarf der Aufsichtsbehörde vorzulegen ist.

Im Bundessekretariat wurde ein vereinfachtes Muster eines solchen Verzeichnisses von Verarbeitungstätigkeiten für eine Kolpingsfamilie erstellt. Wir stellen zwei Fassungen zur Verfügung, eine Fassung ohne nähere Angaben und eine weitere Fassung, bei der wir einige typische Tätigkeiten aufgenommen haben. Jede Kolpingsfamilie muss prüfen, ob weitere personenbezogene Tätigkeiten ausgeübt werden. Diese Tätigkeiten sind zu ergänzen (z.B. Zeiterfassung, Personaldaten bei Anstellung eines geringfügig Beschäftigten usw.). Die Muster stehen auf der Homepage des Kolpingwerkes Deutschland zum Download in Excel- und Pdf-Format bereit. Auf Nachfrage per E-Mail an die E-Mail-Adresse datenschutz-bundessekretariat[at]kolping.de können die Dateien auch per E-Mail zugesandt werden.

Wir empfehlen den Kolpingsfamilien, das Muster „Verzeichnis von Verarbeitungstätigkeiten“ vollständig auszufüllen, bei der nächsten Vorstandssitzung als aktuellen Stand zu beschließen und dem Protokoll dieser Sitzung als Anlage beizufügen.

zu 2.: Beschlussfassung zur Begrenzung der Zuständigen für die Mitglieder- und Beitragsverwaltung - kein Datenschutzbeauftragte/r

Kolpingsfamilien müssen eine/n Datenschutzbeauftragte/n benennen, wenn mindestens 10 Personen im Verein ständig mit der automatisierten Verarbeitung von Daten betraut sind, z.B. bei der Verwaltung der Mitgliederdaten per eVewa. Im Regelfall ist die Verwaltung von personenbezogenen Daten in der Kolpingsfamilie auf weniger Personen begrenzt. Damit ist für diese Kolpingsfamilien kein Datenschutzbeauftragte/r zu benennen.

Wir empfehlen den Kolpingsfamilien, die Bearbeitung der personenbezogenen Daten auf wenige Personen (höchstens neun Personen) zu beschränken, dies bei der nächsten Vorstandssitzung als aktuellen Stand zu beschließen und im Protokoll dieser Sitzung entsprechend zu dokumentieren.

Auch wenn die Kolpingsfamilien keine/n Datenschutzbeauftragte/n nach DS-GVO benennen müssen, ist es sinnvoll, dass eine Person des Vorstands der Kolpingsfamilie als Verantwortliche/r für den Datenschutz benannt wird und den Datenschutz für den Vorstand stetig im Blick hält.

zu 3.: Aufnahmeanträge

Die Kolpingsfamilie / das Kolpingwerk dürfen als Vereine aufgrund des Art. 6 Abs. 1 lit. b) DS-GVO beim Aufnahmeantrag und während der Vereinsmitgliedschaft die Daten von Mitgliedern erheben, die zur Verfolgung der Vereinsziele und für die Betreuung und Verwaltung der Mitglieder notwendig sind. Dabei ist zu berücksichtigen, dass bei der bestehenden und von der Bundesversammlung beschlossenen Beitragsordnung das Alter, der Familienstand sowie die häusliche Gemeinschaft mit anderen Kolping-Mitgliedern Berücksichtigung finden und außerdem das Kolpingwerk in der Arbeitsgemeinschaft Christlicher Arbeitnehmerorganisationen mitwirkt.

Mit dem Aufnahmeantrag werden deswegen als Pflichtfelder der Name, Vorname, Straße, Nr., PLZ, Ort, Geburtsdatum, die Telefon-Nr. und E-Mail-Adresse und das Tätigkeitsverhältnis (angestellt/ selbstständig) sowie bei Personen in häuslicher Gemeinschaft ergänzend der Familienstand angegeben. Zur Bemessung von Jubilarzeiten ist es außerdem notwendig, vorherige Mitgliedschaften im Kolpingwerk aufzuführen.

Die Aufnahmeanträge werden im Bundessekretariat derzeit überarbeitet und in veränderter Form online gestellt. Die Pflichtfelder werden auf den Aufnahmeanträgen markiert. Die Angabe zum Beruf entfällt. Die gedruckten Aufnahmeanträge können von den Kolpingsfamilien weiterverwendet werden, bei Streichung des Feldes „Beruf“.

zu 4.: Datenschutzerklärung für die Homepage

Die Datenschutzerklärung einer Internetseite hat zukünftig folgende Informationen vorzuweisen:

  • zum Verantwortlichen für die über die Webseite erfolgenden Datenverarbeitungsvorgänge (Name, Adresse, Kontaktdaten),
  • zum Datenschutzbeauftragten (sofern eine Verpflichtung zur Bestellung besteht),
  • über Art, Umfang und Zweck der Datenverarbeitung unter Angabe einer Rechtsgrundlage,
  • zur Löschung von Nutzungs- und Bestandsdaten sowie Cookies (Stichwort: Löschkonzept) und zur Behandlung von Tracking-Daten,
  • über das Beschwerderecht bei einer Aufsichtsbehörde für den Datenschutz,
  • bezüglich der Betroffenenrechte, insbesondere zum neuen Recht auf Datenportabilität.

Wir empfehlen den Kolpingsfamilien mit eigenem Internetauftritt die Datenschutzerklärung unter Berücksichtigung der oben genannten Punkte zu aktualisieren.

Im Bundessekretariat wird ein vereinfachtes Muster einer Datenschutzerklärung für den Internetauftritt erstellt. Dieses Muster ist gemäß der (technischen) Anforderungen des Internetauftritts anzupassen. Das Muster steht auf der Homepage des Kolpingwerkes Deutschland zum Download im Pdf-Format bereit. Auf Nachfrage per E-Mail an die Mail-Adresse datenschutz-bundessekretariat[at]kolping.de kann die Datei auch per E-Mail gesandt werden.

Dies gilt in analoger Weise für die Microsites der Kolpingsfamilien, die auf Basis des Microsite-Angebots des Kolpingwerk Deutschland von den Kolpingsfamilien selbst gestaltet werden.

Zu beachten ist beim Internetauftritt der Kolpingsfamilie, dass die Veröffentlichung von personenbezogenen Daten im Internet ohne Passwortschutz eine Übermittlung dieser Daten an Jedermann darstellt. Deswegen ist die Veröffentlichung personenbezogener Daten durch die Kolpingsfamilie im Internet grundsätzlich unzulässig, wenn sich der Betroffene nicht ausdrücklich damit einverstanden erklärt hat. Die Namen und Funktionen der Vorstandsmitglieder können dabei ohne ausdrückliche Einwilligung genannt werden. Für die Nennung der privaten Kontaktdaten der Vorstandsmitglieder ist wiederum eine Einverständniserklärung notwendig. Wir empfehlen, bei der nächsten Vorstandssitzung dazu bei allen Vorstandsmitgliedern eine schriftliche Einverständniserklärung einzuholen.

zu 5.: Impressum für die Homepage

Ein Impressum beinhaltet die detaillierte Anschrift des Inhabers einer Website, damit rechtliche Ansprüche gegen diesen durchgesetzt werden können. Die Pflicht zur sogenannten "Anbieterkennzeichnung" (Impressumspflicht) ergibt sich aus § 5 TMG sowie § 55 RStV.

Das Impressum einer Internetseite hat folgende Informationen in derselben Reihenfolge vorzuweisen:

  • Vollständige Adresse (Straße, Nr., PLZ, Ort)
  • Erreichbarkeit (Tel-Nr., Fax, E-Mail)
  • Registrierung (Amtsgericht und Vereinsnummer) falls vorhanden
  • Verantwortlicher (Vorsitzende/r Kolpingsfamilie)
  • Inhaltliche Verantwortung i.S.v. § 55 Abs. 2 RStV.

zu 6.: Klärung der Auftragsverarbeitung bei Dienstleistern 

Sofern die Kolpingsfamilie einen Dienstleister als fremden Dritten z.B. einen Letter-Shop zum Druck und Versand von Unterlagen oder einen Dienstleister für die Homepage beauftragt, so muss in jedem Einzelfall vertraglich die Auftragsverarbeitung gemäß den Datenschutzbestimmungen festgelegt werden. In den zurückliegenden Wochen haben die Dienstleister den Kolpingsfamilien in der Regel entsprechende Verträge zur Auftragsdatenverarbeitung zur Verfügung gestellt. Wir empfehlen, bei den Dienstleistern umgehend nachzufragen, falls dies noch nicht geschehen ist und um Herausgabe eines entsprechenden Mustervertrags zu bitten.

Mit freundlichen Grüßen aus Köln

Ulrich Vollmer                                                Guido Mensger
Bundessekretär                                Leiter Finanzen und Verwaltung

Köln 22.05.2018

 

Bild: pixabay.com