Kirchlicher Datenschutz und die Prüfung externer Dienstleister
Die Datenschutz-Grundverordnung (DSGVO) bringt hinsichtlich der Auftragsverarbeitung (vormals „Auftragsdatenverarbeitung“) erhebliche Änderungen mit sich, die sich auch in den neuen Datenschutzbestimmungen der katholischen und der evangelischen Kirche in Deutschland (KDG und DSG-EKD 2018) niedergeschlagen haben. Wir geben einen Überblick über die wichtigsten Neuerungen und erörtern insbesondere die weiterhin bestehende Verpflichtung zur Prüfung des Auftragsverarbeiters (Auftragnehmers) durch den Verantwortlichen (Auftraggeber).
Jeder Rechtsträger, der personenbezogene Daten im Auftrag eines Verantwortlichen und auf dessen Weisung hin verarbeitet, gilt als Auftragsverarbeiter. Dementsprechend können auch Tochter-, Mutter- oder Geschwisterunternehmen als Auftragsverarbeiter fungieren. Auftragsverarbeitung kann zum Beispiel sein:
›› die Auslagerung der Lohn- und Gehaltsabrechnung,
›› der Versand von Newslettern,
›› die Datenerfassung und/oder Datenkonvertierung (z. B. Digitalisierung),
›› Cloud Computing,
›› die Backup-Auslagerung und Archivierung.
Obwohl in der Praxis viel zu oft unbeachtet geblieben oder fehlerhaft umgesetzt, bestand bereits nach alter Rechtslage gemäß § 11 Abs. 2 Bundesdatenschutzgesetz (BDSG a. F.) eine Kontrollpflicht des Auftragsverarbeiters. Demnach hatte eine Überprüfung der technischen und organisatorischen Maßnahmen (TOM) durch den Verantwortlichen vor der Aufnahme und sodann regelmäßig im Rahmen der Datenverarbeitung zu erfolgen. Dies war entsprechend zu dokumentieren. Das gleiche galt nach § 8 Abs. 2 KDO und § 11 Abs. 3 DSG-EKD a. F. auch für den kirchlichen Datenschutz. Wie schon nach alter Rechtslage muss der Verantwortliche auch künftig dafür Sorge tragen, dass der Auftragsverarbeiter die getroffenen TOM zum Schutz der entsprechenden personenbezogenen Daten einhält, und sich davon auch in regelmäßigen Abständen überzeugen. Neuerdings kann der Auftragsverarbeiter jedoch, sofern es im Rahmen der Auftragsverarbeitung zu Verstößen gegen den Datenschutz kommt und dies seine Ursache in einer mangelhaften Auswahl oder Umsetzung seiner TOM hat,anders als nach bisheriger Rechtslage selbst zum Verantwortlichenwerden. Damit wird er unmittelbarer Adressat für etwaige Sanktionen seitens der Aufsichtsbehörden und potentielle Schadensersatzbegehren von Betroffenen.
Die einzelnen TOM waren bislang nach § 9 BDSG a. F., § 9 DSG-EKD a. F. bzw. § 6 KDO festzulegen. In einer entsprechenden Anlage zu den vorgenannten Regelungen waren die umzusetzenden Kontrollen festen Kategorien (Zugangskontrolle, Zutrittskontrolle etc.) zugeordnet. DieseKategorien bleiben auch unter der neuen Rechtslage begrifflich erhalten, allerdings müssen sich nun die Kriterien zur Festlegung der geeigneten TOM am Stand der Technik, den Implementierungskosten, der Art, dem Umfang und den Zwecken der Verarbeitung sowie an der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen orientieren (§ 26 Abs. 1 KDG, § 27 Abs. 1 DSG-EKD 2018).
Die TOM umfassen unter anderem
›› die Pseudonymisierung und Verschlüsselung personenbezogener Daten,
›› die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeitund Belastbarkeit der Systeme und Dienste im Zusammenhangmit der Verarbeitung auf Dauer sicherzustellen,
›› die Fähigkeit, die Verfügbarkeit der personenbezogenenDaten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, und
›› ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.
Im Hinblick auf den oben genannten Stand der Technik hat sich der europäische Verordnungsgeber für einen dynamischen Technikbegriff entschieden. Maßgeblich ist demnach diejenige Technik, die sich bereits am Markt bewährt hat und von Fachkräften als fortschrittlich anerkannt ist. Aus diesem Grunde werden sich künftig die IT-Fachkräfte häufiger als zuvor fortzubilden haben.Der Auftragsverarbeiter hat dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, um die Einhaltung der Anforderungen an die Auftragsverarbeitung nach § 29 Abs. 4 KDG bzw. § 30 Abs. 3 DSG-EKD 2018 nachzuweisen und eine Überprüfung zu ermöglichen. Außerdem können sich Auftragsverarbeiter durch geeignete Zertifizierungen mittels akkreditierter Zulassungsstellen bzw. einer Aufsichtsbehörde zertifizieren lassen, um den Nachweis über die Einhaltung der Verpflichtungen zu erbringen. Es ist grundsätzlich nicht erforderlich, dass sich der Verantwortliche beim Auftragsverarbeiter unmittelbar vor Ort selbst von der Einhaltung der TOM überzeugt. Diesbezüglich enthalten die Vorschriften keine konkreten Vorgaben. Insoweit leiten sich Art und Umfang der Prüfungshandlungen stets von der Sensitivität der personenbezogenen Daten, dem jeweiligen Stand der Technik sowie dem ermittelten Risiko der Informationen ab. So können zum Beispiel auch Checklisten oder eine Auditierung von Dritten der Überprüfung der Einhaltung der TOM dienen.
Praxis-Hinweise zur Auftragsverarbeitung
Der Auftragsverarbeiter unterliegt nach dem kirchlichen Datenschutz der Pflicht zur Dokumentation sämtlicher technischer und organisatorischer Maßnahmen, um im Bedarfsfall Rechenschaft darüber ablegen zu können, dass die von ihm vorgenommene Verarbeitung datenschutzkonform erfolgt. Teil dessen ist die regelmäßige Prüfung im Hinblick auf die Einhaltung der technischen und organisatorischen Maßnahmen. Gerne unterstützen wir Sie bei der Formulierung von entsprechenden Vereinbarungen und bei der Implementierung eines geeigneten Verfahrens innerhalb der betrieblichen Organisation zur Kontrolle Ihrer auf Dritte ausgelagerten Dienstleistungen. Hierdurch gewährleisten Sie eine datenschutzkonforme Verarbeitung und reduzieren potentielle Haftungsrisiken maßgeblich.
