C. Allgemeine Fragen

Wann ist die Verarbeitung personenbezogener Daten rechtmäßig?

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Sie ist nur dann rechtmäßig, wenn ein Rechtfertigungsgrund bzw. eine Rechtsgrundlage vorliegt (sog. Verbot mit Erlaubnisvorbehalt).
Rechtsgrundlagen, die die Verarbeitung personenbezogener Daten rechtmäßig machen, finden sich zum Beispiel in § 6 Abs. 1 KDG.

Wie muss eine „Einwilligung“ erfolgen? ( Inhalte in § 8 KDG)

Eine Einwilligung des Betroffenen in die Verarbeitung seiner personenbezogenen Daten ist  dann erforderlich, wenn keine gesetzliche Grundlage zur Verarbeitung der Daten besteht. Eine Einwilligung darf nicht pauschal erteilt werden, sondern muss sich immer auf einen bestimmten Zweck beziehen. Sie bedarf außerdem grundsätzlich der Schriftform, also durch ausdrückliche Erklärung oder durch Ankreuzen. Eine Einwilligung ist freiwillig und kann jederzeit mit Wirkung für die Zukunft wiederrufen werden.

Welche Rechte haben betroffene Personen ? (§ 17 bis 25 und 48 KDG)

- Betroffene Personen haben nach § 17 KDG Auskunftsansprüche bzw. das Recht auf Auskunft. Zunächst ist ihnen auf Nachfrage mitzuteilen, ob über sie personenbezogene Daten gespeichert sind. Ist dies der Fall, so haben Sie Anspruch auf eine Kopie der gespeicherten Daten. Einmal jährlich ist die Kopie unentgeltlich, für weitere Kopien kann ein angemessenes Entgelt verlangt werden. Im Falle eines elektronischen Antrags der betroffenen Person können diese Informationen in elektronischer Form erteilt werden.

- Ebenso besteht das Recht auf Berichtigung nach § 18 KDG, wenn personenbezogene Daten unrichtig sind.

- Unter bestimmten, in § 19 KDG im Einzelnen aufgeführten Voraussetzungen, besteht das Recht auf Löschung der Daten.

- Zudem gibt es das Recht auf Einschränkung der Verarbeitung nach § 20 KDG, sowie das Recht auf Datenübertragbarkeit nach § 22 KDG.

- Außerdem haben betroffenen Personen das in § 23 KDG geregelte Widerspruchsrecht gegen die Verarbeitung sie betreffender personenbezogener Daten.

- Schließlich besteht nach § 48 KDG ein Beschwerderecht bei der Datenschutzaufsicht, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung ihrer personenbezogenen Daten nicht rechtmäßig erfolgt. Das Beschwerderecht besteht unbeschadet eines anderweitigen Rechtsbehelfs.

Welche Pflichten hat der Verantwortliche? (§ 31 bis 35 KDG)

Neben der Informationspflicht hat der bzw. die Verantwortliche weitere Pflichten.

Es muss beispielsweise unter bestimmten Voraussetzungen ein Verzeichnis von Verarbeitungstätigkeiten erstellt werden (§ 31 KDG i.V.m § 1 KDG-DVO).

Bei Datenschutzverletzungen sind diese binnen 72 Stunden nach deren Bekanntwerden der zuständigen Datenschutzaufsicht zu melden (§ 33 KDG) und die betroffenen Personen über diese Verletzung zu informieren (§ 34 KDG).

Sollte eine bestimmte Form der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, so muss vorab eine Datenschutz-Folgenabschätzung durchgeführt werden ( § 35 KDG).

Kann ich die E-Mail-Adressen von externen Kontakten, die ich im Rahmen meiner Diensttätigkeit gespeichert habe, in Zukunft weiterverwenden?

Ja, unter der Voraussetzung, dass die Rechtmäßigkeit der Verarbeitung gegeben ist (§ 6 KDG). In der Regel speichert man die Geschäftskontakte zur Wahrnehmung der Aufgaben, die mit der Funktion der datenverarbeitenden Stelle verbunden ist oder die Speicherung der E-Mail-Adressen ist zur Wahrnehmung der berechtigten Interessen des Verantwortlichen erforderlich und es überwiegen keine Interessen oder Grundrechte der betroffenen Person.

Darf WhatsApp als dienstliches Kommunikationsmittel verwendet werden?

Der Messengerdienst WhatsApp ist aus verschiedenen Gründen nicht datenschutzkonform:
Zum einen erfolgt bei WhatsApp eine Datenspeicherung in den USA und damit außerhalb der Europäischen Union und des europäischen Wirtschaftsraums, was nach dem KDG nur unter bestimmten engen Voraussetzungen zulässig ist.

Zum anderen greift WhatsApp auf sämtliche Adressdaten zu, die der Nutzer von WhatsApp gespeichert hat, ohne dass entsprechende Einwilligungen dieser dritten Personen vorliegen.
Schließlich verlangt WhatsApp selbst, dass bei unter 16-Jährigen die Erziehungsberechtigten der Nutzung von WhatsApp zustimmen. Erfahrungsgemäß nutzen viele Jugendliche, die noch nicht 16 Jahre alt sind, WhatsApp. Dass ein Erziehungsberechtigter den Bedingungen von WhatsApp zugestimmt hat, wird häufig nicht der Fall bzw. kaum nachprüfbar sein, was die Kommunikation mit Minderjährigen unter 16 Jahren über WhatsApp auch aus diesem Grund rechtlich unzulässig machen dürfte.

Es gibt jedoch mehrere Alternativen zu WhatsApp, die datenschutzkonform sind und für eine Kommunikation zur Verfügung stehen. Unsererseits werden die Messengerdienste „communicare“, „simsme“ oder „threema“ als derzeit sicher bewertet.

Muss ich die betreffende Person darüber informieren, was mit Ihren Daten passiert?

Ja, das KDG sieht vor, dass der Verantwortliche die betroffene Person bei Erhebung der Daten über die Datenverarbeitung informieren muss (vgl. § 14 bis 16 KDG). Wenn beispielsweise personenbezogene Daten über ein Anmeldeformular erhoben werden, ist über die Datenverarbeitung zu informieren. Dies erfolgt im Rahmen der sogenannten Datenschutzerklärung.

Die Datenschutzerklärung muss nicht zwangsläufig mit abgedruckt werden, sie ist aber zumindest so zur Verfügung zu stellen,  dass sie für den Betroffenen leicht zugänglich ist (z.B. Homepage). In diesem Fall ist dann ein entsprechender Hinweis aufzunehmen, wo die Informationen zu finden sind.

Hat es Konsequenzen wenn jemand die Datenschutzinformation/ -erklärung nicht unterschreiben möchte?

Eine Unterschrift zu den geltenden Datenschutzbestimmungen dient nur als Sicherheit bzw. als Nachweis darüber, dass der Betroffene über die Datenverarbeitung informiert wurde.

Ein Aushang oder ein reines Informationsblatt sind ebenso gültig.

Wichtig ist nur, dass jede betreffende Person die Möglichkeit der Kenntnisnahme der jeweiligen datenschutzrechtlichen Bestimmungen erhalten kann.

Wie ist mit Bewerbungsunterlagen umzugehen?

Im Rahmen eines Bewerbungsverfahrens sollte zunächst mittels einer Datenschutzinformation über die Datenerhebung während des Auswahlverfahrens informiert werden. (Siehe Anlage " Datenschutzerklaerung_Bewerber")

Arbeitgeber dürfen bei der Bearbeitung von Bewerbungsunterlagen grundsätzlich nur die für den jeweiligen Auswahlprozess erforderlichen personenbezogenen Daten verwenden.

Sofern einem Bewerber abgesagt wird, müssen die Bewerbungsunterlagen spätestens 8 Monate nach der Versendung der Absage vollständig datenschutzkonform vernichtet werden. Dies gilt sowohl für Unterlagen in Papierform als auch für elektronische Unterlagen.

Um die Bewerbungsunterlagen weiterhin über diesen Zeitpunkt hinaus für andere Zwecke aufzubewahren (z.B. für einen späteren Kontakt bei einer anderen neu zu besetzenden Stelle, oder um erfahren zu können, ob/wann sich ein aktueller Bewerber bereits zu früherer Zeit bei uns auf eine andere Stelle beworben hatte) bedarf es einer ausdrücklichen und in der Regel schriftlichen Einwilligung des Betroffenen.

Nach dem Auswahlverfahren, bei Erhebung der Daten des neuen Mitarbeitenden, sollte mittels einer weiteren Datenschutzinformation über die Verarbeitung der personenbezogenen Daten informiert werden. (Siehe Anlage " Datenschutzerklaerung-Arbeitsverhaeltnis")

Wie lange dürfen allgemein Unterlagen oder E-Mails aufbewahrt werden?

Für die Aufbewahrung von Schriftstücken oder E-Mails lässt sich  leider keine generelle Frist bestimmen. Maßgeblich für die Aufbewahrungsdauer ist deren Inhalt. Grundsätzlich gilt: Personenbezogene Daten, die nicht mehr erforderlich sind, sind zu löschen bzw. zu vernichten.

Sollen Daten länger aufbewahrt werden, muss es dafür eine Rechtsgrundlage geben.

Neben der gesetzlichen Pflicht zur Aufbewahrung kann auch ein eigenes, berechtigtes Interesse an einer längerfristigen Speicherung der Daten bestehen, insbesondere um sich im Falle potentieller Rechtsstreitigkeiten gegen Rechtsansprüche verteidigen zu können. Dies kann im Einzelfall eine längere Aufbewahrungsfrist rechtfertigen. Das wäre prinzipiell so lange der Fall, wie die Ansprüche noch nicht verjährt sind. Die regelmäßige Verjährungsfrist beträgt 3 Jahre ( § 195 BGB), wobei die Jahrzählung erst nach Ablauf des Jahres beginnt, in dem der Anspruch entstanden ist. Die Unterlagen sollten bei der Einrichtung verschlossen aufbewahrt werden.

Bedarf es immer einer Einwilligung in Schriftform?

Gemäß § 8 Abs. 2 Satz 1 KDG bedarf die Einwilligung der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist.

Was unter "Schriftform" zu verstehen ist, ergibt sich aus dem BGB.

Nach § 126 Abs. 1 BGB muss zur Einhaltung der Schriftform "...die Urkunde von dem Aussteller eigenhändig durch Namensunterschrift oder mittels notariell beglaubigten Handzeichens unterzeichnet werden."

„Besondere Umstände“ können aber sicherlich im Bereich der elektronischen Medien angenommen werden, so dass dort auch die Möglichkeit der Erteilung der Einwilligung auf elektronischem Wege möglich ist.

Wo und wie melde ich Datenschutzverletzungen?

Kommt es bei der Verarbeitung personenbezogener Daten zu Sicherheitsvorfällen (z.B. Diebstahl, Hacking, Fehlversendung, Verlust von Geräten mit unverschlüsselten Daten) so besteht, wenn diese Verletzung eine Gefahr für die Rechte und Freiheiten natürlicher Personen darstellt, eine gesetzliche Meldepflichten binnen 72 Stunden (§ 33 KDG).

Die Meldung hat dann an die überdiözesane Datenschutzaufsichtsstelle in Frankfurt/M. (Kirchliches Datenschutzzentrum) zu erfolgen.,

Unter folgendem Link können Sie Ihre Datenschutzverletzung direkt an das Datenschutzzentrum Frankfurt senden:
Meldung einer Datenschutzverletzung nach § 33 KDG

Bitte wenden Sie sich bei derartigen Vorfällen jedoch trotzdem unverzüglich an den zuständigen betrieblichen Datenschutzbeauftragten.

Weiterer Hinweis:
Jede Person, der wegen eines Verstoßes gegen das KDG ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadensersatz gegen die kirchliche Stelle als Verantwortlicher oder Auftragsverarbeiter (§50 KDG).

Der Bußgeldrahmen wird durch das KDG festgesetzt und beträgt je nach Schwere des Verstoßes u.U. bis zu 500.000 € (§ 51 KDG).

Aber Achtung:
Gegen kirchliche Stellen im Sinne des § 3 Abs. 1 KDG, werden, soweit sie im weltlichen Rechtskreis öffentlich-rechtlich verfasst sind, keine Geldbußen verhängt; es sei denn sie nehmen als Unternehmen am Wettbewerb teil, § 51 Abs. 6 KDG.