Damit einhergehend erreichen uns nun vermehrt Fragen im Bezug zu Internetseiten in unseren Redaktionssystemen. Einige Fragen können wir beantworten, andere Fragen müssen Sie in Angriff nehmen.
Ab spätestens 25. Mai 2018 gelten die EU-Datenschutzgrundverordnung (DSGVO), das BDSG (neu) bzw. für alle kirchlichen Institutionen das Kirchliche Datenschutzgesetz (KDG).
Im Zusammenhang mit dem neuen Datenschutzgesetz werden wir nun für alle isiWeb-/FlexiWeb-Seiten und die bereits umgezogenen Seiten in OpenCms die allgemeinen Texte im Impressum und zu den Datenschutzrichtlinien auf den geforderten Stand bringen.
Zudem haben wir die Möglichkeiten des Teilens in den Sozialen Netzwerken von den Seiten entfernt. Sollten sich noch Reste auf Ihren Seiten befinden, die Sie nicht löschen können, nehmen Sie bitte Kontakt zu uns auf.
Diese globale Umstellung wird jedoch nicht ausreichen und erfordert nun zeitnah auch Ihre Mitarbeit!
Für Kirchengemeinden und Kirchengemeindeverbände gilt:
Wie schon im kirchlichen Anzeiger Nr. 5 vom 1. Mai 2018 des Bistums Aachen zu lesen war (unter Nr. 60), „sind alle Kirchengemeinden und Kirchengemeindeverbände insbesondere gehalten, schriftlich einen betrieblichen Datenschutzbeauftragten zu benennen.“
Das Bistum richtet hierzu im Bischöflichen Generalvikariat eine Planstelle ein, die zum 24. Mai 2018 besetzt werden soll. Kirchengemeinden und Kirchengemeindeverbände können den Auftrag zum Datenschutz dann auf diese/n Mitarbeiter/in übertragen (siehe ausführliche Erklärungen im Kirchlichen Anzeiger).
Bitte teilen Sie uns so schnell wie möglich mit, ob Sie von dieser Möglichkeit Gebrauch machen oder ob Sie einen eigenen Datenschutzbeauftragten benennen. Teilen Sie uns die Kontaktdaten des Datenschutzbeauftragten mit, wir werden – sofern es nicht der bereits von uns eingetragene Mitarbeiter im Generalvikariat ist – diesen Datenschutzbeauftragten dann auf Ihrer Webseite eintragen.
Was Sie nun tun müssen:
Bitte lesen Sie die nachfolgenden Ausführungen genau durch und prüfen, was für Ihre Webseite zutreffend ist:
Finden Sie heraus, wer der für Ihre Einrichtung oder Gruppierung zuständige Datenschutzbeauftragte ist und teilen Sie uns dessen Name und Kontaktdaten per E-Mail an kontakt@baustelle-internetprojekt.de vor dem 20. Mai 2018 mit. Falls es sich um den Datenschutzbeauftragten des Bistums handelt, ist er bereits im vorgefertigten Text, den wir ergänzen, benannt.
Überprüfen Sie Ihre Internetseite auf alle individuell aktivierten Funktionen, mit denen Sie Daten von Besuchern erheben:
- Nutzen Sie unser Veranstaltungsmodul mit Online-Anmeldung? In diesem Zusammenhang ist das Erheben von Daten natürlich erlaubt. Prüfen Sie jedoch, ob Sie personenbezogene Informationen über den wirklich notwendigen Umfang für Ihre Veranstaltung hinaus abfragen.
Solche persönlichen, für die Veranstaltung nicht relevanten Daten dürfen in Formularen auf keinen Fall verpflichtend sein (also als Pflichtfeld eingetragen).
Zudem dürfen Sie über Veranstaltungsanmeldungen oder andere Formulare eingegangene Daten nicht im System archivieren, sondern müssen sie spätestens mit Abrechnung der Veranstaltung löschen.
Außerdem dürfen Sie die Daten nicht zu anderen als den abgefragten Zwecken nutzen. Es ist nicht erlaubt, Daten aus Anmeldungen für die ungefragte Zusendung von Werbung per Post oder E-Mail zu nutzen.
- Bei der Online-Anmeldung zu Veranstaltungen finden meist Vertragsabschlüsse statt. Dazu müssen Allgemeine Geschäftsbedingungen vom Buchenden zwingend bestätigt werden. Haben Sie entsprechende Geschäftsbedingungen in das Anmeldeformular eingebunden und sind diese auf dem Stand des neuen Datenschutzes? Diese individuellen Texte müssen Sie selbst erarbeiten. Wir können Ihnen bei der Verlinkung einer Seite mit Geschäftsbedingungen im Anmeldeformular helfen.
- Versenden Sie Newsletter über unsere Systeme? Falls ja, müssen Sie gewährleisten, dass alle Empfänger auch bewusst dem Empfang zugestimmt haben. Importierte E-Mail-Adressen und der Versand von Werbung ohne Zustimmung sind generell verboten. Gegebenenfalls bitten Sie alle Ihre Teilnehmer um schriftliche Bestätigung für den weiteren Empfang oder um Abmeldung vom Newsletter (ein entsprechender Link sollte sich in jeder versendeten E-Mail befinden).
Grundsätzlich sind alle unsere Newsletter mit einer Zwei-Faktor-Bestätigung versehen und somit gesetzkonform. Ob Sie diese Anmeldung genutzt haben, wissen wir jedoch nicht.
Aus diesem Grund werden wir beim Wechsel der Newsletter zu OpenCms alle Newsletter-Empfänger bitten, sich erneut bei den Newslettern anzumelden.
- Prüfen Sie die Nutzung und die Notwendigkeit aller weiteren Formulare und Möglichkeiten zur Datenübermittlung auf Ihren Internetseiten in Abstimmung mit Ihrem Datenschutzbeauftragten.
- Jegliche Erhebung von Daten muss in einem "Verzeichnis von Verarbeitungstätigkeiten" abgelegt werden. Das kann ein analoger Ordner mit Dokumenten oder auch ein digitales Dokument sein. Weitere Informationen hierzu erhalten Sie bei Ihrem Datenschutzbeauftragten.
- Überprüfen Sie bitte außerdem die Veröffentlichung von weiteren personenbezogenen Daten auf Ihrer Homepage (Gremien, etc.) auf deren Notwendigkeit und erfragen Sie unbedingt schriftlich die Zustimmung der genannten Personen zur Veröffentlichung.
- Prüfen Sie die Veröffentlichung von Gottesdiensten und Pfarrbriefen auf die Einhaltung der Datenschutzgesetze.
Die Gottesdienste sollten ohne Intentionen und ohne Angaben von Namen von Täuflingen, Brautpaaren oder anderen Namen eingegeben werden. Bitte beachten Sie diese Anforderungen auch beim Auslesen per HTML-Code (z.B. durch KAPLAN).
Pfarrbriefe dürfen keine persönlichen Daten enthalten, wie z.B. Anschriften von Verstorbenen, Geburtstagslisten oder andere Kontaktdaten, wenn die schriftliche Einverständniserklärung nicht vorliegt. Evtl. ist es sinnvoll, eine zusätzliche internetfähige Version des Pfarrbriefes anzubieten oder die jeweiligen Seiten aus dem PDF vorher herauszunehmen.
Weiterhin:
- Falls Sie eine Facebook-Seite betreuen, ergänzen Sie den Info-Bereich um ein Impressum oder einen entsprechenden Link - etwa auf das Ihrer Internetseite.
- Falls Sie Erweiterungen (Plugins) eines Drittanbieters nutzen, die Daten übermitteln, informieren Sie Ihre Besucher darüber oder deaktivieren Sie den Dienst. Für Youtube, Google-Maps und das Homepage-Statistik-Tool werden wir die Ergänzungen in den globalen Datenschutzbestimmungen aufnehmen.
- Falls Ihre Daten von Dritten weiterverarbeitet werden (z.B. Kufer, externe Newsletter-Dienste oder andere Dienstanbieter, die mit den persönlichen, auf der Webseite abgefragten Daten weiterarbeiten), brauchen Sie außerdem einen entsprechenden Vertrag mit diesem Anbieter. Alle Anbieter sollten Ihnen solch ein Dokument zur Verfügung stellen.
Bilder und andere Medien
- Achten Sie bei Medien, die Sie online stellen, nun umso deutlicher auf die Zustimmung von Personen, die darin abgebildet oder mit personenbezogenen Daten erwähnt worden sind. Gehen Sie besonders achtsam mit Bildern von Kindern um; in diesem Fall muss Ihnen die schriftliche Einverständniserklärung beider Erziehungsberechtigter vorliegen.
- Löschen Sie bitte Bilder und Medien, deren Urheber nicht bekannt sind und deren Entstehung Sie nicht mehr nachverfolgen können.
Wir beschränken daher die Migration von Bildern und anderen Medien zu OpenCms auf eine Frist von bis zu 3 Jahren.
Diese Informationen stellen selbstverständlich keine rechtsverbindliche Beratung dar. Wir haben entsprechend unseres aktuellen Wissensstands die entscheidenden Themen für das Angebot der Internetplattformen des Bistums Aachen aufgegriffen.
Herzliche Grüße
Für die Internetprojektgruppe
Monika Herkens und Josef Heinrichs