Datenschutz

Grundlagen zum Umgang mit personenbezogenen Daten und vertraulichen Informationen im Kirchenkreis.

Startseite » Mitarbeitende (intern) » Datenschutz

Datenschutz ist ein zentraler Bestandteil unserer Arbeit im Kirchenkreis Ostholstein. Der verantwortungsvolle Umgang mit personenbezogenen Daten und vertraulichen Informationen schützt nicht nur die Rechte der Betroffenen, sondern auch die Glaubwürdigkeit und Integrität unserer Organisation.

Diese Seite bietet Ihnen einen umfassenden Überblick über die rechtlichen Grundlagen, praktische Regeln für den Alltag und konkrete Handlungsempfehlungen bei Datenschutzvorfällen. Der Datenschutz im kirchlichen Kontext folgt eigenen Regelungen, die sich an der DSGVO orientieren, aber kirchenrechtlich eigenständig sind.

Rechtliche Grundlagen

Welche gesetzlichen Grundlagen gelten für den Datenschutz im Kirchenkreis?

Im kirchlichen Bereich gelten eigene Datenschutzregelungen, die sich an der Datenschutz-Grundverordnung (DSGVO) orientieren, aber kirchenrechtlich eigenständig sind:

Wichtigste Rechtsquellen:

  • DSG-EKD (Datenschutzgesetz der Evangelischen Kirche in Deutschland): Die kirchliche Entsprechung zur DSGVO. Es regelt den Umgang mit personenbezogenen Daten in der evangelischen Kirche.
  • Kirchliche Durchführungsverordnungen: Konkretisierungen des DSG-EKD auf Landeskirchen- und Kirchenkreisebene.
  • Dienstanweisungen: Interne Regelungen des Kirchenkreises zum Datenschutz.

Warum kircheneigene Regelungen?

Die Kirche hat nach Artikel 91 DSGVO das Recht, eigene Datenschutzregelungen zu erlassen, sofern diese mit der DSGVO in Einklang stehen. Das DSG-EKD wurde entsprechend angepasst und trat 2018 in Kraft.

Praxishinweis: Im Arbeitsalltag müssen Sie sich meist nicht mit den Details der Rechtsgrundlagen auseinandersetzen. Wichtig ist, die praktischen Regeln dieser Seite zu beachten und bei Unsicherheiten den Datenschutzbeauftragten zu kontaktieren.

Was sind personenbezogene Daten?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Beispiele für personenbezogene Daten:

  • Stammdaten: Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse
  • Identifikationsnummern: Personalausweisnummer, Sozialversicherungsnummer, Steuernummer
  • Berufliche Daten: Beschäftigungsverhältnis, Gehalt, Arbeitszeiten
  • Kirchliche Daten: Taufdatum, Konfirmation, Trauung, Mitgliedschaft in kirchlichen Gremien
  • Digitale Kennungen: IP-Adressen, Cookies, Geräte-IDs

Besondere Kategorien personenbezogener Daten (sensible Daten):

Diese Daten unterliegen einem besonders hohen Schutz und dürfen nur unter strengen Voraussetzungen verarbeitet werden:

  • Gesundheitsdaten (z.B. Krankheiten, Behinderungen)
  • Religiöse oder weltanschauliche Überzeugungen
  • Politische Meinungen
  • Gewerkschaftszugehörigkeit
  • Genetische und biometrische Daten
  • Daten zum Sexualleben oder zur sexuellen Orientierung
  • Strafrechtliche Verurteilungen und Straftaten
Wichtig: Im kirchlichen Kontext fallen viele Daten automatisch unter „besondere Kategorien" (z.B. Taufregister, Seelsorgegespräche). Diese Daten erfordern besondere Sorgfalt.

Welche Grundprinzipien gelten für die Datenverarbeitung?

Das DSG-EKD definiert folgende Grundsätze, die bei jeder Datenverarbeitung beachtet werden müssen:

  • Rechtmäßigkeit: Daten dürfen nur verarbeitet werden, wenn eine Rechtsgrundlage vorliegt (z.B. Gesetz, Einwilligung, Vertrag).
  • Zweckbindung: Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden (z.B. Gemeindebrief-Versand, nicht für Werbung Dritter).
  • Datenminimierung: Es dürfen nur die Daten erhoben werden, die für den jeweiligen Zweck erforderlich sind.
  • Richtigkeit: Daten müssen korrekt und aktuell sein. Fehlerhafte Daten sind zu berichtigen.
  • Speicherbegrenzung: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck notwendig ist.
  • Integrität und Vertraulichkeit: Daten müssen vor unbefugtem Zugriff, Verlust oder Zerstörung geschützt werden.
  • Rechenschaftspflicht: Die Einhaltung der Grundsätze muss nachgewiesen werden können.
In der Praxis: Fragen Sie sich immer: „Brauche ich diese Information wirklich?", „Darf ich sie verwenden?" und „Wie lange muss ich sie aufbewahren?".

Umgang mit personenbezogenen Daten im Alltag

Darf ich dienstliche Daten auf privaten Geräten speichern?

Grundsätzlich nein, es sei denn, es bestehen klare Absprachen mit der IT und dem Datenschutzbeauftragten sowie geeignete Schutzmaßnahmen.

Risiken bei privaten Geräten:

  • Fehlende Sicherheitsmaßnahmen: Private Geräte haben oft keine ausreichende Verschlüsselung, Virenschutz oder Zugriffskontrolle.
  • Familienmitglieder/Dritte: Andere Personen könnten unbeabsichtigt auf dienstliche Daten zugreifen.
  • Geräteverlust: Bei Verlust oder Diebstahl sind die Daten gefährdet.
  • Cloud-Synchronisation: Private Cloud-Dienste (Dropbox, Google Drive, iCloud) synchronisieren möglicherweise dienstliche Daten auf externe Server.

Erlaubte Ausnahmen (nur mit Genehmigung):

  • Mobile Device Management (MDM): Wenn Ihr privates Gerät von der IT verwaltet wird und Sicherheitsrichtlinien durchsetzt.
  • Verschlüsselte Container: Spezielle Apps, die einen gesicherten Bereich auf dem Gerät schaffen.
  • Zugriff nur über Browser: Wenn Sie nur über Office 365 im Browser auf Daten zugreifen (keine lokale Speicherung).
Verboten: Personenbezogene Daten per WhatsApp, privaten E-Mail-Accounts oder privaten Cloud-Diensten zu versenden oder zu speichern.

Wie gehe ich mit sensiblen Dokumenten im Homeoffice um?

Im Homeoffice gelten dieselben Datenschutzanforderungen wie im Büro:

Grundregeln:

  • Physische Dokumente: Bewahren Sie Papierunterlagen mit personenbezogenen Daten in abschließbaren Schränken auf. Lassen Sie keine Dokumente offen herumliegen.
  • Bildschirmschutz: Positionieren Sie Ihren Monitor so, dass Außenstehende (Familie, Besucher) nicht mitlesen können. Nutzen Sie ggf. einen Blickschutzfilter.
  • Bildschirmsperre: Sperren Sie Ihren Rechner, wenn Sie den Arbeitsplatz verlassen (Windows + L).
  • Telefonate: Führen Sie vertrauliche Gespräche (z.B. Seelsorge) in einem separaten Raum, wo Sie nicht gestört werden.
  • Videokonferenzen: Achten Sie darauf, dass im Hintergrund keine vertraulichen Informationen sichtbar sind (z.B. Pinnwand mit Namen/Terminen).
  • Entsorgung: Schreddern Sie vertrauliche Dokumente (mindestens Sicherheitsstufe P-4). Werfen Sie sie nicht einfach in den Hausmüll.
Tipp: Nutzen Sie digitale Dokumente statt Papier, wo immer möglich. In OneDrive/SharePoint sind Dateien besser geschützt als in einem offenen Homeoffice.

Darf ich Daten per unverschlüsselter E-Mail verschicken?

Das kommt auf die Art der Daten an:

Erlaubt per normaler E-Mail:

  • Allgemeine Informationen ohne Personenbezug (z.B. Gemeindebrief-Entwurf, Terminankündigungen)
  • Öffentlich verfügbare Informationen (z.B. Gottesdienstzeiten)
  • Unkritische personenbezogene Daten in geringem Umfang (z.B. „Frau Müller kommt am Donnerstag")

Nicht erlaubt per normaler E-Mail:

  • Besonders schützenswerte Daten (Gesundheit, Seelsorgegespräche, sensible Lebenslagen)
  • Passwörter, Zugangsdaten, Kontoinformationen
  • Umfangreiche Listen mit personenbezogenen Daten (z.B. Gemeindemitglieder-Datenbank)
  • Vertrauliche Personalunterlagen (Verträge, Gehaltsabrechnungen)

Sichere Alternativen:

  • Verschlüsselte E-Mail (S/MIME oder PGP): Kontaktieren Sie die IT, um Verschlüsselung einzurichten.
  • Sichere Dateifreigabe (SharePoint/OneDrive): Teilen Sie Dateien über einen geschützten Link statt per E-Mail-Anhang.
  • Persönliche Übergabe: Bei sehr sensiblen Informationen (z.B. Seelsorge-Notizen) ggf. persönlich oder postalisch übermitteln.
Wichtig: E-Mails sind wie Postkarten – sie können von Dritten gelesen werden. Sensible Daten gehören nicht in normale E-Mails.

Wie gehe ich mit Passwörtern um?

Passwörter sind der Schlüssel zu allen dienstlichen Systemen und müssen besonders geschützt werden:

Grundregeln:

  • Niemals teilen: Geben Sie Ihr Passwort niemandem – auch nicht Kollegen oder IT-Support (die IT wird Sie nie nach Ihrem Passwort fragen!).
  • Nicht aufschreiben: Notieren Sie Passwörter nicht auf Post-its, in ungesicherten Dateien oder im Kalender.
  • Keine einfachen Passwörter: Vermeiden Sie „123456", „Passwort", Namen oder Geburtsdaten.
  • Eindeutige Passwörter: Nutzen Sie für jeden Dienst ein anderes Passwort.
  • Passwortwechsel: Ändern Sie Ihr Passwort sofort, wenn Sie den Verdacht haben, dass es kompromittiert wurde.

Empfehlung: Passwort-Manager nutzen

Ein Passwort-Manager (z.B. KeePass, Bitwarden) speichert alle Passwörter verschlüsselt. Sie müssen sich nur noch ein Masterpasswort merken.

Starke Passwörter erstellen: Nutzen Sie mindestens 12 Zeichen mit einer Mischung aus Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen. Beispiel: „M3in$ich3r€sPW!"

Darf ich personenbezogene Daten weitergeben?

Nur unter bestimmten Voraussetzungen:

Erlaubt:

  • Auftragserfüllung: Wenn die Weitergabe für Ihre Arbeit notwendig ist (z.B. Gemeindebrief an Druckerei mit Adressen für Versand).
  • Einwilligung: Wenn die betroffene Person ausdrücklich zugestimmt hat.
  • Gesetzliche Pflicht: Bei behördlichen Anfragen mit Rechtsgrundlage (z.B. Gericht, Finanzamt).

Nicht erlaubt:

  • Weitergabe an Dritte ohne Rechtsgrundlage (z.B. Adressen an Werbefirmen)
  • Weitergabe sensibler Daten ohne explizite Einwilligung (z.B. Gesundheitsdaten)
  • Nutzung für private Zwecke
Vorsicht bei Druckereien, Dienstleistern: Auch externe Dienstleister müssen Datenschutzanforderungen erfüllen. Schließen Sie einen Auftragsverarbeitungsvertrag (AVV) ab. Sprechen Sie mit der IT oder dem Datenschutzbeauftragten.

IT-Sicherheit und Datenschutz

Wie erkenne ich Phishing-E-Mails?

Phishing ist der Versuch, durch gefälschte E-Mails an vertrauliche Informationen (Passwörter, Zugangsdaten) zu gelangen.

Warnsignale:

  • Dringlichkeit: „Ihr Konto wird gesperrt, wenn Sie nicht sofort handeln!"
  • Ungewöhnliche Absender: E-Mail-Adresse sieht seltsam aus (z.B. „supprt@microsofft.com").
  • Rechtschreibfehler: Viele Tippfehler oder schlechtes Deutsch.
  • Verdächtige Links: Fahren Sie mit der Maus über Links (ohne zu klicken) und prüfen Sie die echte URL.
  • Unerwartete Anhänge: Öffnen Sie keine Anhänge von unbekannten Absendern.
  • Anfrage nach Passwörtern: Seriöse Organisationen fragen nie per E-Mail nach Passwörtern.

Was tun bei Verdacht?

  1. Nicht klicken: Klicken Sie nicht auf Links oder Anhänge.
  2. IT informieren: Leiten Sie die verdächtige E-Mail an die IT weiter (support@kk-oh.de).
  3. Löschen: Löschen Sie die E-Mail.
Mehr Informationen: Siehe auch Gehackte Konten vs. Scamming-Mails.

Wie sichere ich meinen Arbeitsplatz-PC?

  • Bildschirmsperre: Aktivieren Sie die automatische Bildschirmsperre nach 5-10 Minuten Inaktivität. Sperren Sie den PC manuell beim Verlassen (Windows + L).
  • Updates installieren: Installieren Sie Windows-Updates und Sicherheitspatches zeitnah.
  • Virenschutz aktiv: Stellen Sie sicher, dass der Virenschutz aktiviert ist und regelmäßig aktualisiert wird.
  • Keine privaten USB-Sticks: Verwenden Sie keine privaten USB-Sticks oder externe Festplatten an dienstlichen PCs (Malware-Gefahr).
  • Software nur von offiziellen Quellen: Installieren Sie keine Programme ohne Genehmigung der IT.

Was mache ich bei Verlust eines Dienstgeräts (Laptop, Smartphone, Tablet)?

Sofortmaßnahmen:

  1. IT unverzüglich informieren: Melden Sie den Verlust sofort der IT (support@kk-oh.de oder Telefon 04521/788-0).
  2. Führungskraft informieren: Informieren Sie Ihre Vorgesetzte/Ihren Vorgesetzten.
  3. Datenschutzbeauftragten informieren: Bei Geräten mit sensiblen Daten muss der Datenschutzbeauftragte eingeschaltet werden.
  4. Polizei informieren (bei Diebstahl): Erstatten Sie ggf. Anzeige bei der Polizei.

Was passiert dann?

  • Die IT kann das Gerät remote sperren oder löschen (wenn aktiviert).
  • Passwörter für alle darauf gespeicherten Dienste werden geändert.
  • Je nach Inhalt wird geprüft, ob eine Meldepflicht gegenüber den Betroffenen oder Aufsichtsbehörden besteht.
Wichtig: Je schneller Sie reagieren, desto besser kann der Schaden begrenzt werden. Warten Sie nicht bis zum nächsten Arbeitstag!

Datenschutzvorfälle

Was ist ein Datenschutzvorfall (Data Breach)?

Ein Datenschutzvorfall ist jede Verletzung des Schutzes personenbezogener Daten, die zu einer unbefugten Offenlegung, einem Verlust oder einer Veränderung führt.

Beispiele:

  • E-Mail mit personenbezogenen Daten an falschen Empfänger gesendet
  • Laptop mit unverschlüsselten Daten gestohlen
  • Unbefugte haben auf Dateien im Netzlaufwerk zugegriffen
  • Datenbank wurde gehackt und Daten abgeflossen
  • Dokumente mit Personaldaten im Papiermüll (statt Schredder) entsorgt
  • Versehentliches Löschen wichtiger Dateien ohne Backup

Wie soll ich bei einem möglichen Datenschutzvorfall reagieren?

Sofortmaßnahmen:

  1. Ruhe bewahren: Panik hilft nicht. Handeln Sie schnell, aber überlegt.
  2. Schaden begrenzen: Wenn möglich, stoppen Sie die weitere Verbreitung (z.B. E-Mail zurückrufen, Zugriff sperren).
  3. IT unverzüglich informieren: Kontaktieren Sie die IT (support@kk-oh.de oder Telefon 04521/788-0).
  4. Führungskraft informieren: Melden Sie den Vorfall Ihrer Vorgesetzten/Ihrem Vorgesetzten.
  5. Datenschutzbeauftragten informieren: Die IT oder Ihre Führungskraft wird den Datenschutzbeauftragten einschalten.
  6. Dokumentieren: Notieren Sie, was passiert ist, wann, wie und welche Daten betroffen sind.

Was passiert dann?

  • Der Datenschutzbeauftragte bewertet das Risiko für die Betroffenen.
  • Bei hohem Risiko muss der Vorfall innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet werden.
  • Bei sehr hohem Risiko müssen auch die betroffenen Personen informiert werden.
  • Es werden Maßnahmen ergriffen, um ähnliche Vorfälle künftig zu verhindern.
Wichtig: Verheimlichen Sie Vorfälle nicht aus Angst vor Konsequenzen. Je schneller gehandelt wird, desto besser lassen sich Folgen begrenzen. Ehrlichkeit ist hier entscheidend.

Was sind typische Folgen eines Datenschutzverstoßes?

Für die Organisation:

  • Meldepflicht an Aufsichtsbehörde
  • Imageschaden und Vertrauensverlust
  • Bußgelder (bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes nach DSGVO; im kirchlichen Bereich gelten ähnliche Sanktionen)
  • Schadensersatzansprüche der Betroffenen

Für Mitarbeitende:

  • Bei vorsätzlichem oder grob fahrlässigem Verhalten: arbeitsrechtliche Konsequenzen (Abmahnung, Kündigung)
  • Bei schwerem Verschulden: ggf. persönliche Haftung

Aber: Fehler passieren. Entscheidend ist, dass Sie sofort handeln und nicht versuchen, den Vorfall zu vertuschen.

Betroffenenrechte

Welche Rechte haben Betroffene (Gemeindemitglieder, Mitarbeitende)?

Das DSG-EKD gewährt betroffenen Personen umfassende Rechte:

  • Auskunftsrecht (Art. 15 DSGVO / § 17 DSG-EKD): Betroffene können Auskunft darüber verlangen, welche Daten über sie gespeichert sind.
  • Berichtigungsrecht (Art. 16): Falsche Daten müssen korrigiert werden.
  • Löschungsrecht („Recht auf Vergessenwerden", Art. 17): Daten müssen gelöscht werden, wenn sie nicht mehr benötigt werden oder unrechtmäßig verarbeitet wurden.
  • Einschränkung der Verarbeitung (Art. 18): Betroffene können verlangen, dass Daten nur noch gespeichert, aber nicht mehr genutzt werden (z.B. bei Rechtsstreit).
  • Datenübertragbarkeit (Art. 20): Betroffene können verlangen, ihre Daten in einem maschinenlesbaren Format zu erhalten.
  • Widerspruchsrecht (Art. 21): Betroffene können der Verarbeitung ihrer Daten widersprechen (z.B. bei Direktwerbung).

Was tun bei Anfragen?

Leiten Sie Anfragen zu Betroffenenrechten immer an den Datenschutzbeauftragten oder Ihre Führungskraft weiter. Antworten Sie nicht selbst, da Fristen eingehalten werden müssen (i.d.R. 1 Monat).

Besondere Situationen

Wie gehe ich mit Seelsorgedaten um?

Seelsorgedaten unterliegen einem absoluten Schutz (Seelsorgegeheimnis):

  • Keine Weitergabe: Informationen aus Seelsorgegesprächen dürfen grundsätzlich nicht weitergegeben werden – auch nicht an Vorgesetzte, Kolleg*innen oder Behörden.
  • Keine Dokumentation in allgemeinen Systemen: Seelsorge-Notizen gehören nicht in allgemeine Ablagesysteme (z.B. SharePoint-Team).
  • Sichere Aufbewahrung: Falls Sie Notizen machen, bewahren Sie diese in einem abschließbaren Schrank auf oder verschlüsselt auf Ihrem PC.
  • Vernichtung nach Ende: Löschen oder schreddern Sie Notizen, sobald sie nicht mehr benötigt werden.
Ausnahme: Nur wenn eine akute Gefahr für Leib und Leben besteht (z.B. Suizidabsicht, Kindeswohlgefährdung), dürfen Sie nach sorgfältiger Abwägung Informationen weitergeben. Holen Sie sich in solchen Fällen Rat bei erfahrenen Kolleg*innen.

Wie gehe ich mit Fotos von Veranstaltungen um?

Fotos sind personenbezogene Daten (Bildnisse), für die besondere Regeln gelten:

Grundsatz: Sie benötigen die Einwilligung der abgebildeten Personen, wenn Sie Fotos veröffentlichen möchten (z.B. Website, Social Media, Gemeindebrief).

Ausnahmen (keine Einwilligung nötig):

  • Öffentliche Veranstaltungen: Bei öffentlichen Gottesdiensten, Festen etc. ist eine Einwilligung nicht zwingend erforderlich, wenn Personen nur als „Beiwerk" abgebildet sind (nicht im Fokus).
  • Zeitgeschichtliche Ereignisse: Berichterstattung über wichtige Ereignisse (z.B. Kirchentag).

Best Practice:

  • Hängen Sie bei Veranstaltungen ein Schild aus: „Hier werden Fotos gemacht. Wenn Sie nicht fotografiert werden möchten, sprechen Sie uns an."
  • Holen Sie bei Kindern immer die Einwilligung der Eltern ein (schriftlich).
  • Vermeiden Sie Nahaufnahmen ohne explizite Zustimmung.
  • Prüfen Sie vor Veröffentlichung, ob alle abgebildeten Personen einverstanden sind.
Tipp: Erstellen Sie ein Standard-Einwilligungsformular für Foto-/Videoaufnahmen. Fragen Sie die IT oder den Datenschutzbeauftragten nach einer Vorlage.

Wie lange dürfen Daten gespeichert werden?

Grundsatz: Daten dürfen nur so lange gespeichert werden, wie es für den Zweck erforderlich ist.

Typische Aufbewahrungsfristen:

  • Personaldaten (Mitarbeitende): 10 Jahre nach Ausscheiden (steuerrechtliche Gründe)
  • Verträge: 6-10 Jahre (je nach Art)
  • Spendenbescheinigungen: 10 Jahre (Steuerrecht)
  • Kirchenbücher (Taufe, Trauung, Bestattung): Unbegrenzt (kirchenrechtliche Pflicht)
  • Gemeindebrief-Verteilerlisten: Bis zum Widerruf der Einwilligung oder Austritt
  • Protokolle von Sitzungen: Je nach Wichtigkeit 5-10 Jahre

Was tun nach Ablauf?

Löschen Sie Daten sicher (digitale Dateien: endgültig löschen, Papier: schreddern). Prüfen Sie regelmäßig alte Datenbestände und räumen Sie auf.

Ansprechpartner und Hilfe

An wen wende ich mich bei Datenschutzfragen?

Datenschutzbeauftragte/r des Kirchenkreises:

Kontaktinformationen finden Sie im Intranet oder erfragen Sie diese bei Ihrer Führungskraft.

IT-Abteilung:

Wann IT, wann Datenschutzbeauftragten kontaktieren?

  • IT: Technische Fragen (Verschlüsselung, Zugriff, Synchronisation, Phishing-Verdacht)
  • Datenschutzbeauftragte/r: Rechtliche Fragen (Einwilligung, Weitergabe an Dritte, Betroffenenrechte, Vorfälle)
Tipp: Bei Unsicherheit lieber einmal zu viel fragen als zu wenig. Der Datenschutzbeauftragte ist Ihr Partner, nicht Ihr Kontrolleur.

Sicherheit & E-Mail-Betrug

Informationen zum Erkennen von Betrugs-Mails und gehackten Konten: Gehackte Konten vs. Scamming-Mails.