Richtlinien
Richtlinien zum Datenschutz für alle Personen innerhalb des AB-Verbandes, die Zugang zu datenschutzrelevanten Daten haben
Je nach Personengruppe gelten unterschiedliche Anforderungen:
Hauptamtliche Mitarbeiter: Hiermit werden die Mitarbeiter bezeichnet, die beim Verband angestellt sind und denen gegenüber der AB-Verband weisungsbefugt ist.
Ehrenamtliche Mitarbeiter: Hiermit werden die Mitarbeiter bezeichnet, die Aufgaben im Namen des Verbandes wahrnehmen und Zugriff auf datenschutzrelevante Daten haben, wie z.B. Älteste/Bezirksbruderräte, Kleingruppenleiter, Freizeitverantwortliche. Sie sind bzgl. der datenschutzrelevanten Daten ebenfalls weisungsgebunden. Das bedeutet, die Daten der Gruppe, die sie im Namen des AB-Verbandes betreuen, müssen nach den Richtlinien gespeichert und verarbeitet werden. Bei Daten von anderen Personen innerhalb der Gemeinde, die nicht innerhalb der zu verantwortenden Gruppe gespeichert werden, wäre die Anforderungen für die Personengruppe „Freunde“ zu beachten.
Freunde: Hiermit werden die Personen bezeichnet, die mit dem Verband verbunden sind und deren personenbezogene Daten beim Verband gespeichert werden, wie z.B. Gemeindemitglieder, Besucher, Freunde, Interessierte, Freizeitteilnehmer. Diesen Personen werden wir als Mitarbeiter des AB-Verbandes auch keine Daten innerhalb und außerhalb von ChurchTools, von anderen Personen (Dritten) zur Verfügung stellen. Die originäre Einstellung bei ChurchTools wird so vorgenommen, dass der Freund keine Daten Dritter einsehen darf. Die Freunde können aber innerhalb von ChurchTools selber genehmigen, ihre Daten für Dritte innerhalb von ChurchTools freizugeben. Für Daten, die ihnen von anderen Personen innerhalb der Gemeinde persönlich anvertraut werden, können wir keine Verantwortung übernehmen.
Für die hauptamtlichen und ehrenamtlichen Mitarbeiter ist der Umgang mit datenschutzrelevanten Informationen mit aller Sorgfalt zu erledigen. Deswegen sind folgende Punkte einzuhalten:
Danke, wenn wir uns gemeinsam einsetzen, dass wir gesetzes-konform arbeiten und der Umgang mit den Daten anderer von Liebe und Achtung gegenüber dem Eigentum des Anderen geprägt ist.
1. Schutz der Daten
Alle Computer von hauptamtlichen Mitarbeitern (mit dienstlichem Inhalt) müssen mit Passwörtern geschützt sein. (Bei Windows z.B. mit PIN). Zugänge mit Passwort dürfen grundsätzlich nicht weitergegeben werden.
Ehrenamtliche Mitarbeiter müssen die Zugänge zu datenschutzrelevanten Daten auf ihrem Computer mit Passwort schützen. Alternativ zum Passwort ist auch ein anderer Schutz möglich, wie z.B. Fingerprint.
Alle Daten in Papierform (Formulare, Listen, etc.), die sensibel oder datenschutzrechtlich relevant sind, müssen in einem abschließbaren Zimmer oder abschließbaren Schrank gelagert werden.
2. Anforderung an das Passwort der E-Mail-Adresse
Das Passwort der E-Mailadresse … @ab-verband.org muss mit mindestens 8 Zeichen mit Klein- und Großbuchstaben, Zahlen und Sonderzeichen eingerichtet sein. Bitte dies überprüfen und gegebenenfalls ändern.
Will jemand seine E-Mail-Adresse neu einrichten und benötigt Hilfe, bitte an den Verantwortlichen für die E-Mails innerhalb des Verbandes, zurzeit Christoph Hauth, christoph.hauth@ab-verband.org wenden.
3. Einwilligungserklärung
Alle Personen, deren Adressen gespeichert werden, müssen dazu eine Einwilligungserklärung abgeben. Das geschieht durch
- eine elektronische Zustimmung, die abgespeichert wird
- das Unterschreiben der Einwilligungserklärung
- eine mündliche Zustimmung (i.d.R. bei langjährigen, älteren Besuchern)
- oder ist gegeben, wenn die Adresse öffentlich im Internet zu finden ist. Adressen, für die keine Genehmigung vorliegt, sind zu löschen.
4. Aufbewahrung der Datenschutzerklärung
Die unterschriebenen Datenschutzerklärungen sind zentral im Büro der Gemeinde aufzubewahren oder in einem vom AB-Verband zur Verfügung gestellten Ordner innerhalb der Nextcloud zu hinterlegen. Wenn eine Gemeinde Zugang zu einem solchen Ordner braucht, bitte bei Christoph Hauth christoph.hauth@ab-verband melden.
5. Recht auf Auskunft
Verlangt jemand Auskunft über seine gespeicherten Daten, ist diese Anfrage schnellstmöglich an den Datenschutzbeauftragten weiterzuleiten und von diesem zu beantworten. Im Bibelheim gelten in bestimmten Situationen Sonderregelungen.
6. Löschen von Daten
In einem Sterbefall oder auf Wunsch werden die Daten der betroffenen Person zeitnah gelöscht. Im Sterbefall müssen die Daten spätestens nach fünf Jahren vor Ort gelöscht sein. Ausnahme sind rechtlich verpflichtende Speicherungen von Daten, um z.B. die Teilnahme an Schulungen zu dokumentieren. In diesen Fällen werden die gesetzlichen Vorgaben beachtet. Zum Archiv siehe Punkt 11.
7. Weitergabe von datenschutzrelevanten Daten an Dritte
Es ist generell nicht gestattet, Daten an Dritte weiterzugeben. Der notwendige Weg ist, Person x darüber zu informieren, dass Person y zum Beispiel seine Telefonnummer oder seine Adresse haben möchte.
8. Weitergabe von Adresslisten
Adresslisten oder die Möglichkeit eines Downloads (Papier, Excel-Tabelle, PDF- Dokument, …) dürfen nur weitergegeben oder ausgelegt werden, wenn für alle darauf verzeichneten Personen eine gesonderte Genehmigung vorliegt.
Es ist zu beachten, dass es auch innerhalb von ChurchTools nicht gestattet ist, die datenschutzrelevanten Daten von Gruppenmitgliedern ohne Erlaubnis des Einzelnen anderen Gruppenmitgliedern zu Verfügung zu stellen. Diese Weitergabe von Informationen ist rechtlich die Weitergabe an Dritte, welche untersagt ist. Der Einzelne muss explizit schriftlich zugestimmt oder selbst die Genehmigung innerhalb von ChurchTools erteilt haben, damit seine Daten von anderen Gruppenmitgliedern eingesehen werden dürfen.
Alte Adresslisten ohne separate Genehmigung sind zu vernichten.
9. Veröffentlichung von Geburtstagen
Geburtstage sind ein sehr heikles Thema und dürfen nur veröffentlicht werden (z.B. im Gemeindebrief), wenn dafür eine Genehmigung vorliegt. Eine Veröffentlichung mit Widerspruchslösung reicht nicht aus.
10. Bilder
Wir achten auf das Copyright bei eigenen Bildern. Wir veröffentlichen keine Bilder, bei denen wir keine Rechte haben. Für alle Bilder mit 5 oder weniger Personen haben wir die Rechte schriftlich eingeholt. Bei Bildern mit 6 oder mehr Personen können wir veröffentlichen, wenn nicht eine Person besonders hervorgehoben ist und wir keine Namen dazuschreiben. Bei gekauften Bildern veröffentlichen wir das Bild mit dem Bild-Copyright.
11. Kasualien
Kasualien oder Amtshandlungen werden in einem Archiv in ChurchTools in der Geschäftsstelle gespeichert. Dies betrifft Segnungen, Taufen, Hochzeiten, Beerdigungen.
12. Speichern von Adressdaten im AB-Verband, Adresslisten
Es werden alle Adressen originär in dem zu benutzenden Datenbankprogramm gespeichert. Das ist i.d.R. ChurchTools. Ausnahme: In der per.Du, evangelische Gemeinde (Durlach) wird die Software VereinOnline verwendet. Nur aus diesem Datenbankprogramm heraus werden eventuelle Listen erstellt und im dienstlichen Bereich aufbewahrt (Nextcloud, dienstlicher PC, Ablage bei dienstlichen Unterlagen). Wenn eine explizite Genehmigung vorliegt, dürfen diese Listen Anderen zur Verfügung gestellt werden. Diese Listen sind regelmäßig zu aktualisieren und die alten Listen zu vernichten.
Scheidet ein hauptamtlicher oder ehrenamtlicher Mitarbeiter aus der Aufgabe aus, sind alle dienstlichen Unterlagen dem AB-Verband auszuhändigen und die datenschutzrelevanten Daten auf dem Computer zu löschen
13. Beitritt zu ChurchTools
Wenn jemand eine Einladung bekommt, ChurchTools oder VereinOnline beizutreten, wird für ihn ein eigener Zugang freigeschaltet. Dazu vergibt er bei der Anmeldung ein eigenes Passwort (mindestens 6 Zeichen, besser wären 8 Zeichen, mit Klein- und Großbuchstaben, Zahlen und Sonderzeichen). Dort kann er selbst entscheiden, ob seine Daten für Dritte innerhalb von ChurchTools/VereinOnline freigeschaltet werden dürfen.
14. ChurchTools-Wiki und Nextcloud / Zur-Verfügung-Stellen von Dokumenten
Sollen datenschutzrechtlich relevante Dokumente anderen (Einzelnen oder einer Gruppe) zur Verfügung gestellt werden, sind sie entweder in ChurchTools („Wiki“) oder in Nextcloud einzustellen oder über Firefox Send passwortgeschützt zu teilen (siehe nächster Punkt). In die ChurchTools-Wiki werden Dokumente eingestellt, wie Protokolle, Aufgabenbeschreibungen etc. Nextcloud ist u.a. ein Dienst zur datenschutzkonformen Aufbewahrung von Dateien in der Cloud (ähnlich wie die bekannte Dropbox). In Nextcloud werden datenschutzrelevante Daten und sensible Daten, insbesondere die Abrechnungen der Bezirke, der Sonderkassen und der Häuser, eingestellt. Dadurch wird vermieden, dass die Rechner oder Hausverwalter Daten auf ihrem privaten PC speichern.
Dokumente mit großem Volumen (Bilder, Filme), die mehreren Personen zur Verfügung gestellt werden sollen, können ebenfalls in Nextcloud gespeichert werden und über einen Link freigeschaltet werden. Dafür kann einzelnen Gemeinden eine Nextcloud zur Verfügung gestellt werden. Bitte wendet euch an Christoph Hauth christoph.hauth@abverband.org Diese ist aber beschränkt auf 10 GB. Das bedeutet, die Cloud kann nicht als Archiv benutzt werden, sondern als Arbeitsplattform, auf der Daten immer wieder gelöscht und gepflegt werden.
Durlach hat das Thema entsprechend für „VereinOnline“ geregelt.
15. Nextcloud Client
Analog zur Dropbox bietet auch Nextcloud mit der Software „Nextcloud-Client“ die Möglichkeit, Dateien bequem mit dem eigenen Computer zu synchronisieren (und damit auch lokal auf dem eigenen Computer verfügbar zu machen). Dies ist jedoch datenschutzrechtlich bedenklich und daher für unsere Arbeit nicht gestattet. Wir wollen das Speichern datenschutzrechtlich relevanter Daten bzw. sensibler Daten (z. B. Namen, Zahlen, Monats- und Fahrtenberichte) innerhalb des Verbandes auf privaten Rechnern so weit wie möglich verhindern. Das Nutzen von Nextcloud bleibt deshalb auf den reinen Onlinezugang beschränkt.
16. Firefox send
Über „Firefox send“ können Dokumente passwortgeschützt versandt werden. Zum Herunterladen der Datei wird ein Link und ein Passwort benötigt. Ein Dokumentationsvideo zu „Firefox send“ kann über https://youtu.be/lNF0DkVZsFg abgerufen werden.
17. App „ChurchTools“/“VereinOnline“
Es ist gestattet, die „church tools /VereinOnline-App“ auf dem Handy/Portables zu installieren und zu gebrauchen.
18. E-Mail-Programme
Bei E-Mail-Programmen (Outlook, Thunderbird, …) dürfen nur Name und E-Mail-Adresse gespeichert werden. Alle weiteren Angaben sind zu löschen. Es dürfen auch weiterhin Gruppen (von Kontakten) angelegt werden. Sammel-E-Mails (Mailverteiler) können einfach (über die Gruppenfunktion) von ChurchTools aus versandt werden. Werden Sammel-E-Mails über das E-Mail-Programm versandt, empfehlen wir das Versenden mit BCC, gegebenenfalls mit Angabe all derjenigen, die die Mail erhalten. Sind die E-Mail-Adressen für alle ersichtlich, muss gewährleistet sein, dass jeder mit der Weitergabe seiner E-Mail-Adresse einverstanden ist.
19.Abrufen von E-Mails über Smartphone
Es ist nicht genehmigt, die dienstlichen E-Mails etc. auf dem Handy/Portable zu speichern. (Gilt für Hauptamtliche). Deswegen darf von einem Smartphone etc. nur noch mit einem Webmailer (über Browser) gearbeitet werden. Das ist bei den Hauptamtlichen der Webmailer von 1und1. Bei Fragen zur konkreten Umsetzung bitte beim Datenschutzbeauftragten nachfragen.
Wir müssen soweit wie möglich gewährleisten, dass „privat“ von „dienstlich“ getrennt ist. Da dies auf dem Handy nicht möglich ist, denn die Apps haben Zugriff auf alle Daten, dürfen keine dienstlichen Daten dort gespeichert werden, was bei einem Zugriff z.B. über eine E-Mail App passiert. Leider ist eine Umsetzung dieser Auflage auf den Computern (Desktop/Notebook) nur möglich, wenn man zwei Computer (dienstlich/privat) benutzt.
20.Messengerdienste (WhatsApp, Telegram, …)
Bei Messengerdiensten wie WhatsApp, Telegram etc., ist es nur erlaubt, die Handynummer und den Namen zu speichern. Alle weiteren Angaben zur Person sind auf dem Handy zu löschen. (Gilt für Hauptamtliche, da sie uneingeschränkt Zugang zu den Daten über die ChurchToolsApp haben).
21. Webseiten der Gemeinden, Jugend …
Alle Webseiten der Gemeinden, der Jugend etc., die einen Arbeitsbereich innerhalb des AB-Verbandes in irgendeiner Weise vorstellen – unabhängig davon, ob sie auf den Namen des Verbands, der Gemeinde oder eine Privatperson angemeldet sind -, fallen rechtlich in den Verantwortungsbereich des Verbandes und müssen daher dessen Richtlinien beachten. Dem Verband ist ein Zugriffsrecht auf die Website zur Verfügung zu stellen, das ihn berechtigt, diese Seite gegebenenfalls zu sperren, wenn die Richtlinien des Verbandes nicht eingehalten werden.
22. Speichern von Daten des Gästebetriebs Bibelheim
Daten des Gästebetriebs unseres Bibelheims werden in dem Hotelverwaltungsprogramm „hotline“ nur mit Zustimmung des Gastes gespeichert. Auch ohne Zustimmung des Gastes werden Daten gespeichert, die gemäß §29, 30 Bundesmeldegesetz (BMG) erhoben werden müssen. Die unterschriebenen Meldescheine werden gemäß BMG mindestens 12 Monate, maximal 15 Monate aufgehoben.
23. Newsletter
Newsletter werden nur per E-Mail verschickt, wenn der Empfänger die Möglichkeit hat, den Newsletter abzubestellen. Dies kann realisiert werden durch:
- Im besten Fall einen Button, mit dem der Empfänger automatisch aus dem
Newsletter-Verteiler herausgenommen wird oder
- mindestens die Angabe einer E-Mail-Adresse, unter der der Empfänger den Newsletter abbestellen kann. Die E-Mail-Adresse wird dann innerhalb von drei Tagen aus dem Verteiler herausgenommen.
Newsletter können auch schriftlich, per Telefon oder Fax abbestellt werden.
24. Schulung
Jeder Mitarbeiter ist verpflichtet, mindestens alle 5 Jahre oder bei Änderung der Rechtslage eine Schulung zum Thema Datenschutz innerhalb unseres Verbandes zu besuchen. Alternativ können Mitarbeiter in den Gemeinden eine zur Verfügung gestellte Videopräsentation anzuschauen. Der Termin der Schulung wird in ChurchTools hinterlegt. (Details siehe Anleitung
Schulungsdaten). Verantwortlich für die Mitarbeiter innerhalb der Gemeinde sind die Bruderräte / Leitungskreise. Mitarbeiter, die keine Schulung absolviert haben, können keinen Zugriff zu datenschutzrelevanten Daten innerhalb des Verbandes bekommen.
Diese Richtlinien treten am 01.04.2020 in Kraft.
gez. Dr. Fritz Wengler
Datenschutzbeauftragter Ev. Gemeinschaftsverband AB e.V.
datenschutz@ab-verband.org
———————————————————————————————————-
Verpflichtungserklärung zum Datenschutz
Ich, …………………………………………………………………….
habe die Richtlinien zum Datenschutz vom Evangelischen Gemeinschaftsverband AB gelesen und verpflichte mich, sie einzuhalten.
—————– —————————————————
Datum Unterschrift